Bing güvenlik açığı, arama sonuçlarının değiştirilmesini mümkün kıldı

Araştırmacıların Bing arama sonuçlarını değiştirmesine izin veren büyük bir güvenlik açığı bu hafta ortaya çıktı.

Güvenlik açığı, siber güvenlik araştırma şirketi tarafından Ocak ayında keşfedildi. Wiz(Yeni bir sekmede açılır) ve Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) bildirilir.

Bir Twitter dizisinde Wiz araştırmacısı Hillai Ben-Sasson, Bing’in içerik yönetim sistemine (CMS) nasıl girebildiğini açıkladı. Microsoft’un bulut bilgi işlem platformu Azure’da oturum açarak, tüm kullanıcılara dahili Microsoft uygulamalarına erişim izni verebileceğini keşfetti. Daha sonra Bing’in arama sonuçlarının bir veritabanına erişti. Oradan, Ben-Sasson, sonuçlarda ortaya çıkan şeyi gerçekten değiştirebileceğini anladı.

Wiz araştırmacıları ayrıca Bing’in bir Siteler Arası Komut Dosyası Çalıştırma (XSS) saldırısına karşı savunmasız olduğunu keşfettiler ve Outlook e-postaları, Takvim bilgileri ve Teams mesajları dahil olmak üzere hassas Office 365 verilerine erişimleri olduğunu keşfettiler. MSRC, Azure AD yöneticileri ve geliştiricileri için ayrıntılı güvenlik güncelleştirmeleri ve paylaşılan öneriler Blog yazısı(Yeni bir sekmede açılır).

Araştırmacıların deneyinin amacı, bunun mümkün olduğunu göstermek ve bulgularını Microsoft ile paylaşmaktı. Ancak, kötü niyetli bilgisayar korsanlarının Bing’i nasıl mahvedebileceğini gösteriyor.

Wiz blog yazısı, “Aynı erişime sahip kötü niyetli bir aktör, aynı yük ve milyonlarca kullanıcının sızıntıya duyarlı verileriyle en popüler arama sonuçlarını ele geçirebilirdi” dedi. Neyse ki büyük bir hasar oluşmadan yakalandı.

Tweet silinmiş olabilir
(yeni bir sekmede açılır)
(Yeni bir sekmede açılır)

Microsoft onaylanmış(Yeni bir sekmede açılır) 29 Mart itibariyle düzeltildi. Wiz, belirsiz bir alıcıya bağışlamayı planladığı güvenlik açığını bildirdiği için 40.000 $ ‘lık bir “hata ödülü” aldı.