已发现影响 Microsoft Bing 的安全漏洞。它使得篡改搜索结果和窃取互联网用户的数据成为可能,包括在 Outlook 和 Teams 消息上交换的电子邮件……
Wiz 计算机安全研究人员发现了一个影响Bing,微软的搜索引擎。此次泄露是由于该集团云平台 Azure 上的应用程序配置错误造成的。总之,此故障允许任何互联网用户连接到受影响的应用程序之一以进行更改或收集数据。
据微软称,该缺陷仅影响少数应用程序。仅应用程序使用Azure 活动目录,该组织向《华尔街日报》解释说,身份和访问管理服务受到了故障的影响。
“其中一个应用程序是为 Bing.com 提供支持的内容管理系统 (CMS)”,维兹解释道详细报告。
Bing 结果流量
通过利用该缺陷,Wiz 研究人员获得了微软员工使用的平台在 Bing 上设置测验。要访问它,您只需要一个 Microsoft 帐户即可。
专门研究云安全的纽约专家随后设法编辑搜索结果出现在必应中的。例如,他们更改了响应查询“最佳配乐”时出现的第一个元素。此次泄露还使得修改搜索引擎的主页成为可能。
数据盗窃
最重要的是,该漏洞允许攻击者利用敏感数据关于 Microsoft Bing 用户。研究人员确实可以收集 Outlook 上的电子邮件、OneDrive 上的文档、日历、Teams 上的消息以及可能存储在上的所有其他数据微软365,出版商的云平台。所有这些数据都可以被潜在的攻击者查看。这显然非常令人担忧,尤其是因为“许多组织使用 Office 365 来存储最敏感的业务数据”,维兹指出。
维兹向我们保证,没有迹象表明黑客利用了这一漏洞。然而,从理论上讲,该缺陷仍然有可能在过去被攻击者利用,而没有留下丝毫痕迹。研究人员透露,微软云上的其他 1000 个网站也出现了同样的故障。大多数页面属于 Azure 客户,但 Wiz 拥有“发现其他几个微软内部应用程序也有类似的配置错误”。
https://twitter.com/hillai/status/1641146508639600646?s=61&t=1tkQSDOT1NgEHiyZbG_9zw
维兹 (Wiz) 发现了这一发现,并获得了 4 万美元的赏金,微软修复了该缺陷2023 年 2 月 2 日,几天前ChatGPT 人工智能助力的新 Bing 发布。我把它签给“修复了易受攻击的应用程序并引入了更改”Wiz 研究员 Hillai Ben-Sasson 在一份报告中解释说,为了提高安全性线发布在推特上。
来源 : 华尔街日报
