已發現影響 Microsoft Bing 的安全漏洞。它使得篡改搜尋結果和竊取網路使用者的資料成為可能,包括在 Outlook 和 Teams 訊息上交換的電子郵件…
Wiz 電腦安全研究人員發現了一個影響Bing,微軟的搜尋引擎。此次洩漏是由於該集團雲端平台 Azure 上的應用程式配置錯誤造成的。總而言之,此故障允許任何互聯網用戶連接到受影響的應用程式之一以進行更改或收集資料。
據微軟稱,該缺陷僅影響少數應用程式。僅應用程式使用Azure 活動目錄,該組織向《華爾街日報》解釋說,身分和存取管理服務受到了故障的影響。
“其中一個應用程式是為 Bing.com 提供支援的內容管理系統 (CMS)”,維茲解釋道詳細報告。
Bing 結果流量
透過利用該缺陷,Wiz 研究人員獲得了微軟員工使用的平台在 Bing 上設定測驗。要存取它,您只需要一個 Microsoft 帳戶。
專門研究雲端安全的紐約專家隨後設法編輯搜尋結果出現在必應中的。例如,他們更改了在回應查詢「最佳配樂」時出現的第一個元素。此次洩漏也使得修改搜尋引擎的主頁成為可能。
資料竊取
最重要的是,該漏洞允許攻擊者利用敏感數據關於 Microsoft Bing 使用者。研究人員確實可以收集 Outlook 上的電子郵件、OneDrive 上的文件、日曆、Teams 上的消息以及可能儲存在上的所有其他數據微軟365,出版商的雲端平台。所有這些數據都可以被潛在的攻擊者查看。這顯然非常令人擔憂,尤其是因為“許多組織使用 Office 365 來儲存最敏感的業務資料”,維茲指出。
維茲向我們保證,沒有跡象顯示駭客利用了這個漏洞。然而,從理論上講,該缺陷仍然有可能在過去被攻擊者利用,而沒有留下絲毫痕跡。研究人員透露,微軟雲端上的其他 1000 個網站也出現了同樣的故障。大多數頁面屬於 Azure 客戶,但 Wiz 擁有“發現其他幾個微軟內部應用程式也有類似的配置錯誤”。
https://twitter.com/hillai/status/1641146508639600646?s=61&t=1tkQSDOT1NgEHiyZbG_9zw
維茲 (Wiz) 發現了這一發現,並獲得了 4 萬美元的賞金,微軟修復了這個缺陷2023 年 2 月 2 日,幾天前ChatGPT 人工智慧助力的新 Bing 發布。我把它簽給“修復了易受攻擊的應用程式並引入了更改”Wiz 研究員 Hillai Ben-Sasson 在一份報告中解釋說,為了提高安全性線發佈在推特上。
來源 : 華爾街日報
