По-рано тази година беше открита опасна уязвимост в търсачката Bing на Microsoft, която позволяваше на потребителите да променят резултатите от търсенето и да получават достъп до лична информация на други потребители на Bing от приложения като Teams, Outlook и Office 365. Още през януари изследователи по сигурността от Wiz откриха неправилна конфигурация в Azure – платформата за изчисления в облак на Microsoft, която компрометира Bing, позволявайки на всеки потребител на Azure да получи достъп до приложения без разрешение.
Уязвимостта беше открита в услугата за управление на идентичността и достъпа Azure Active Directory (AAD). Приложенията, използващи разрешенията на платформата са достъпни за всеки потребител на Azure, което налага разработчиците да потвърждават кои потребители могат да имат достъп до техните приложения. Тази отговорност невинаги е ясна, поради което грешните конфигурации са често срещано явление – Wiz твърди, че 25% от всички сканирани от тях многофункционални приложения не са имали правилна валидация.
Едно от тези приложения било Bing Trivia. Изследователите успяли да влязат в приложението, използвайки собствените си акаунти в Azure, където открили система за управление на съдържанието (CMS), която им позволявала да контролират резултатите от търсенето в реално време в Bing.com. Wiz подчертава, че всеки, който е бил на страницата на приложението Bing Trivia е можел потенциално да манипулира резултатите от търсенето в Bing, за да стартира дезинформационни или фишинг кампании.
Разследването на секцията Work на Bing също така разкри, че експлойтът можел да се използва за достъп до данните на други потребители в Office 365, разкривайки имейли от Outlook, календари, съобщения от Teams, документи от SharePoint и файлове от OneDrive. Wiz демонстрират, че успешно са използвали уязвимостта, за да прочетат имейли от симулирана пощенска кутия на жертва. Над 1000 приложения и уебсайтове в облака на Microsoft били открити с подобни експлойти с неправилна конфигурация, включително Mag News, Contact Center, PoliCheck, Power Automate Blog и Cosmos.
„Потенциален нападател би могъл да повлияе на резултатите от търсенето в Bing и да компрометира имейлите и данните на милиони хора в Microsoft 365. Това можеше да бъде държава, която се опитва да повлияе на общественото мнение, или финансово мотивиран хакер.“
казва Ами Лутвак, главен технологичен директор на Wiz, пред The Wall Street Journal
Експлойтът беше поправен на 2 февруари, само няколко дни преди Microsoft да пусне функцията за чат в Bing, задвижвана от изкуствен интелект
Уязвимостта в Bing беше докладвана на Центъра за реагиране на сигурността на Microsoft на 31 януари. Според Лутвак Microsoft е отстранила проблема на 2 февруари. По-късно от Wiz са сигнализирали за други уязвими приложения на 25 февруари и заявиха, че Microsoft е потвърдила, че всички докладвани проблеми са отстранени на 20 март. Microsoft също така заяви, че компанията е направила допълнителни промени, за да намали риска от бъдещи неправилни конфигурации.
В последно време Bing се радва на рязко нарастване на популярността, като по-рано този месец надхвърли границата от 100 млн. активни потребители дневно, след като на 7 февруари стартира функцията за чат в Bing, задвижвана от изкуствен интелект. Ако проблемът не беше поправен няколко дни преди това, експлозивният растеж на Bing можеше да разпространи опасния и лесно достъпен експлойт за сигурност сред милиони потребители – според Similarweb, Bing е 30-ият най-посещаван уебсайт в света.
През октомври миналата година подобно неправилно конфигурирано крайно устройство на Microsoft Azure доведе до нарушаване на сигурността на данните BlueBleed, което разкри данните на 150 000 компании в 123 държави.
Wiz заявиха, че няма доказателства уязвимостта да е била използвана преди да бъде поправена. Въпреки това дневниците на Azure Active Directory невинаги предоставят подробности относно предишни дейности, а Wiz твърдят, че проблемът може да е бил експлоатиран в продължение на години. Wiz препоръчва на организациите с приложения в Azure Active Directory да проверяват дневниците на приложенията си за подозрителни влизания, които биха показали пробив в сигурността.