今週、研究者がBingの検索結果を変更できるようにする重大なセキュリティエクスプロイトが明らかになった。
この脆弱性はサイバーセキュリティ調査会社によって1月に発見されたウィズMicrosoft Security Response Center (MSRC) に報告しました。
Wiz 研究者のヒライ・ベン・サッソン氏は Twitter のスレッドで、Bing のコンテンツ管理システム (CMS) にどのようにしてハッキングできたのかを説明しました。 Microsoft のクラウド コンピューティング プラットフォーム Azure にログインすることで、すべてのユーザーに Microsoft 内部アプリへのアクセスを許可できることを発見しました。次に、Bing の検索結果のデータベースにアクセスしました。そこから、Ben-Sasson は、結果に表示される内容を実際に変更できることに気づきました。
マッシュ可能な光の速度
Wiz の研究者はまた、Bing がクロスサイト スクリプティング (XSS) 攻撃に対して脆弱であることを発見し、Outlook メール、予定表情報、Teams メッセージを含む Office 365 の機密データにアクセスできることを発見しました。 MSRC では、セキュリティ更新プログラムの詳細と、Azure AD 管理者と開発者向けの推奨事項の共有について説明しています。ブログ投稿。
関連項目:
研究者らの実験の目的は、それが可能であることを示し、その結果をマイクロソフトと共有することでした。しかし、このことは、悪意のあるハッカーがどのように Bing に大混乱をもたらした可能性があるかを示しています。
「同じアクセス権を持つ悪意のある攻撃者が、同じペイロードで最も人気のある検索結果を乗っ取り、数百万のユーザーから機密データを漏洩した可能性がある」とWizのブログ投稿には書かれている。幸いにも大きな被害が出る前に捕らえられました。
ツイートは削除された可能性があります
マイクロソフト 確認済みWiz はこの脆弱性を報告したことで 40,000 ドルの「バグ報奨金」を受け取り、これを不特定の受取人に寄付する予定です。