一名安全研究人员最近能够更改 Microsoft Bing 搜索引擎的顶部结果并访问任何用户的私人文件,这可能使数百万用户处于危险之中——而他所要做的只是登录到一个不安全的网页。
该漏洞是由云安全公司 Wiz 团队的研究员 Hillai Ben-Sasson 发现的。根据 Ben-Sasson 的说法,它不仅允许攻击者更改 Bing 搜索结果,还允许他们访问数百万用户的私人文件和数据。
该研究小组将其称为 BingBang,该漏洞以微软的 Azure Active Directory 为中心,企业使用该目录管理用户身份和对应用程序的访问。不幸的是,如果应用程序配置错误,世界上任何 Azure 用户都可以在没有正确凭据的情况下登录它。
令人震惊的是,研究人员在对该漏洞的技术分析中指出,他们扫描的所有多用户应用程序中有多达 25% 存在漏洞——包括一款名为 Bing Trivia 的 Microsoft 应用程序。
在利用该漏洞登录 Bing Trivia 应用程序后,Wiz 团队发现了一个与 Bing.com 相关的内容管理系统 (CMS),该系统控制着搜索引擎的实时结果。带着一丝幽默感,他们随后修改了其中一个条目,将“最佳配乐”的最高结果从沙丘配乐更改为 1995 年电影黑客的配乐。
然而,这个缺陷意味着什么并不有趣。正如研究人员所解释的那样,“登陆 Bing Trivia 应用程序页面的恶意行为者可能因此篡改了任何搜索词并发起了错误信息活动,以及钓鱼和冒充其他网站。”
窃取私人文件和电子邮件
更重要的是,研究人员能够在登录时将无害的跨站点脚本 (XSS) 有效负载添加到 Bing 中。这能够按预期运行,不受干扰。在向 Microsoft 报告该问题后,研究人员尝试修改此 XSS 有效负载以查看可能发生的情况。
由于 Bing 与Microsoft 365集成,Wiz 团队能够创建一个脚本,该脚本可能会窃取已登录用户的访问令牌,从而授予他们访问该用户云数据的权限。这可能包括Outlook 电子邮件、日历、Teams 消息、OneDrive 文件等。
总而言之,这意味着黑客可以将 Bing 搜索结果重定向到恶意网站,同时从任何登录 Microsoft 365 帐户的用户那里获取私人数据。全部来自利用一个简单的登录漏洞。
幸运的是,研究人员立即向微软报告了该漏洞,微软很快就修复了该漏洞,并获得了 40,000 美元的漏洞赏金。然而,它仍然是一个令人震惊的例子,说明从数百万毫无戒心的用户那里窃取私人数据是多么容易。