ビッグ・バン . これは、Azure および Bing で検出されたセキュリティ違反と呼ばれ、検索結果の変更だけでなく、 Microsoft 検索エンジンだけでなく、悪意のあるコードを挿入して、Office 365 アカウントに割り当てられたすべての個人情報を盗みます。これには、電子メール、Outlook 電子メール、予定表情報、Teams の会話、または OneDrive ファイル。
幸いなことに、この脆弱性を実行する方法は、サイバー犯罪者ではなく、セキュリティ研究者によって発見されました。 何百万もの Office 365 アカウントを制御する方法は、 マイクロソフトに報告 セキュリティ レスポンスセンター 、すでにパッチが適用されているため、このセキュリティホールの手口が共有されています。
Bing の検索結果がハッキングされた
Wiz Research の研究者である Hillai Ben-Sasson は、Bing によって返された検索結果を意のままに変更することに成功しました。 ビンバン . これを行うために、彼はあなたが思っているよりも多くのデータにアクセスできる Bing 管理パネルをハッキングすることに成功しました。
最初のステップは、Azure で奇妙な構成を検出することでした。 アプリケーションが「マルチユーザー」になるのを防ぐのは、XNUMX つのチェックボックスだけです。 すべてのユーザーがログインできるようにする .
これを行った後、このように構成された Microsoft アプリケーションが見つかり、ログインしました。Ben-Sasson のユーザーは、すぐにアクセスを許可されました。 「Bing Trivia」という CMS ページ 、検索結果など、目に見える以上のものを制御します。 研究者がいくつかのキーワードとそれに対応する検索結果を含むセクションを見つけたとき、疑問が生じました。このアプリは Bing の検索結果を変更できるのでしょうか?
確かにそうでした。 その理論が試された 検索結果を変更する 「最高のサウンドトラック」の最初の結果を「Dune (2021)」から「Hackers (1995)」に変更すると、変更は Bing に即座に表示されます。
Office 365 アカウント データにアクセスしました
検索結果を意図的に操作する危険性に加えて、この脆弱性の限界をテストし、 クロスの可能性 ・サイトスクリプティング ( XSS )、Web アプリケーションに典型的なコンピューターの脆弱性またはセキュリティ ホールであり、ユーザーがアクセスした Web ページに第三者が JavaScript コードまたは別の同様の言語を挿入することを可能にする可能性があります。
これを行うために、無害なペイロードが新しい検索結果に追加されました。 ページを更新した後、 ペイロードが正常に実行されました . すぐに、Ben-Sasson は変更を元に戻し、すべてを Microsoft に報告しましたが、XNUMX つの疑問が頭に残りました。この XSS で何ができるでしょうか?
ヒライ・ベン・サッソン@ヒライ@Bing CMS にハッキングして、検索結果を変更し、何百万もの @Office365 アカウントを乗っ取ることができました。
どうやってそれをしたのですか? すべては、@Azure でクリックするだけで始まりました… 👀
これは #BingBang の物語です🧵⬇️ https://t.co/9pydWvHhJs29年2023月20日 • 33:XNUMX8.5K
300
Bing 要求を調べているときに、Office 365 通信にエンドポイントが使用されていることに気付きました。 Bing は、サインインしている任意のユーザーに Office トークンを発行できることがわかりました。 この機能を使用して XSS ペイロードを設計し、機能しました。
このペイロードが何百万もの Office 365 アカウントに挿入される可能性には、次のようなものがあります。 Microsoft アカウントに関連付けられた個人情報 : メール、カレンダー、Teams メッセージ、SharePoint ドキュメント、OneDrive ファイルなど。すべての Bing ユーザーに適用されます。
マイクロソフト セキュリティ レスポンス センターは、このセキュリティ レポートに迅速に対応しました。 脆弱なアプリケーションを修正しました 、およびお客様がこの問題を軽減できるように、Azure 管理パネル ガイドと製品にいくつかの変更を加えました。 この脆弱性は、発見者が寄付することを決定した 40,000 ドルの報奨金さえ授与されるほどの大きさでした。
