Des millions de comptes Office ont été volés à l'aide d'un trou dans Bing

La méthode pour réaliser cette vulnérabilité a heureusement été découverte par un chercheur en sécurité et non par un cybercriminel. La méthode pour prendre le contrôle de millions de comptes Office 365 était signalé à Microsoft Sécurité Centre de réponse , il a déjà été patché et c'est pourquoi le modus operandi de cette faille de sécurité est partagé.

Les résultats de recherche Bing piratés

Hillai Ben-Sasson, chercheur chez Wiz Research, a réussi à modifier à volonté les résultats de recherche renvoyés par Bing, un exploit qu'il a surnommé Bing-bang . Pour ce faire, il a réussi à pirater un panneau d'administration Bing qui donnait accès à plus de données que vous ne le pensez.

La première étape consistait à détecter une configuration étrange dans Azure. Une seule case à cocher est tout ce qui sépare une application de devenir "multi-utilisateurs", ce qui par défaut permet à tous les utilisateurs de se connecter .

Après cela, une application Microsoft configurée de cette manière a été trouvée et connectée. L'utilisateur de Ben-Sasson a obtenu un accès immédiat à une page CMS appelée "Bing Trivia" , qui contrôle plus qu'il n'y paraît, y compris les résultats de recherche. Lorsque le chercheur a trouvé une section contenant des mots clés et les résultats de recherche correspondants, la question s'est posée : cette application pourrait-elle modifier les résultats de recherche Bing ?

En effet, c'était le cas. Cette théorie a été testée en modifiant les résultats de la recherche pour les "meilleures bandes sonores" et en changeant le premier résultat de "Dune (2021)" à "Hackers (1995)", le changement apparaissant instantanément sur Bing.

Les données du compte Office 365 ont été consultées

Outre le danger de manipuler intentionnellement les résultats de recherche, il a été décidé de tester les limites de cette vulnérabilité et de tester la faisabilité de Cross -script du site ( XSS ), une vulnérabilité informatique ou une faille de sécurité typique des applications Web, qui peut permettre à un tiers d'injecter du code JavaScript ou un autre langage similaire dans les pages Web visitées par l'utilisateur.

Pour ce faire, une charge utile inoffensive a été ajoutée au nouveau résultat de recherche. Après avoir actualisé la page, cela la charge utile a été exécutée avec succès . Rapidement, Ben-Sasson a annulé les modifications et a tout signalé à Microsoft, mais une question lui restait à l'esprit : que peut-on faire avec ce XSS ?

Hillaï Ben Sasson

@hillai

J'ai piraté un CMS @Bing qui m'a permis de modifier les résultats de recherche et de prendre en charge des millions de comptes @Office365.
Comment ai-je fait ? Eh bien, tout a commencé par un simple clic dans @Azure… 👀
C'est l'histoire de #BingBang 🧵⬇️ https://t.co/9pydWvHhJs

29 mars 2023 • 20:33

8.5K

300

Lors de l'inspection des requêtes Bing, il a remarqué qu'un point de terminaison était utilisé pour les communications Office 365. Il s'avère que Bing peut émettre des jetons Office à tout utilisateur connecté. Conçu une charge utile XSS en utilisant cette fonctionnalité et cela a fonctionné.

Les possibilités de cette charge utile pouvant être injectée dans des millions de comptes Office 365 comprenaient les éléments suivants informations personnelles associées à votre compte Microsoft : e-mails, calendriers, messages Teams, documents SharePoint, fichiers OneDrive, etc. Et tous applicables à tout utilisateur Bing.

Le Microsoft Security Response Center a répondu rapidement à ce rapport de sécurité, corrigé les applications vulnérables , et apporté quelques modifications au guide et au produit du panneau d'administration Azure pour aider les clients à atténuer ce problème. La vulnérabilité était d'une telle ampleur qu'une prime de 40,000 XNUMX $ a même été attribuée, que les découvreurs ont décidé de faire don.