نقص Bing به هکرها اجازه می دهد تا نتایج جستجو را تغییر دهند، فایل های شما را بدزدند

یک محقق امنیتی اخیراً موفق شد نتایج برتر موتور جستجوی بینگ مایکروسافت را تغییر دهد و به فایل‌های شخصی هر کاربر دسترسی پیدا کند، که به طور بالقوه میلیون‌ها کاربر را در معرض خطر قرار می‌دهد – و تنها کاری که لازم بود ورود به یک صفحه وب ناامن بود.

این اکسپلویت توسط محقق Hilai Ben-Sasson از تیم آنها در Wiz، یک شرکت امنیت ابری کشف شد. به گفته بن ساسون، این نه تنها به مهاجم اجازه می‌دهد نتایج جستجوی Bing را تغییر دهد، بلکه به آنها امکان دسترسی به فایل‌های شخصی و داده‌های میلیون‌ها کاربر را نیز می‌دهد.

این آسیب‌پذیری که توسط گروه تحقیقاتی BingBang نامیده می‌شود، بر روی Azure Active Directory مایکروسافت متمرکز است که توسط شرکت‌ها برای مدیریت هویت کاربران و دسترسی به برنامه‌ها استفاده می‌شود. متأسفانه، اگر یک برنامه به اشتباه پیکربندی شود، هر کاربر Azure در جهان می‌تواند بدون اعتبار صحیح وارد آن شود.

به‌طور تکان‌دهنده، محققان در تجزیه و تحلیل فنی این اشکال اشاره کردند که تا 25 درصد از همه برنامه‌های چند کاربره که اسکن کرده‌اند، آسیب‌پذیر هستند – از جمله یک برنامه مایکروسافت به نام Bing Trivia.

پس از استفاده از پاس برای ورود به برنامه بینگ Trivia، تیم Wiz یک سیستم مدیریت محتوا (CMS) مرتبط با Bing.com را کشف کردند که نتایج زنده موتور جستجو را کنترل می کند. سپس، با کمی طنز، یکی از ورودی ها را تغییر دادند و امتیاز برتر «بهترین موسیقی متن» را از موسیقی Dune به فیلم هکرها در سال 1995 تغییر دادند.

با این حال، هیچ چیز خنده‌داری در مورد این نقص وجود ندارد. همانطور که محققان توضیح می دهند، “یک بازیگر مخربی که در صفحه برنامه Bing Trivia فرود می آید بنابراین می تواند هر عبارت جستجویی را جعل کرده و کمپین های اطلاعات نادرست و همچنین فیشینگ و جعل هویت وب سایت های دیگر را راه اندازی کند.”

سرقت فایل ها و ایمیل های شخصی

علاوه بر این، محققان توانستند در حین ورود به بینگ، یک محموله بی ضرر برنامه نویسی متقابل سایت (XSS) را به Bing اضافه کنند. این می تواند بدون مداخله همانطور که انتظار می رود کار کند. پس از گزارش مشکل به مایکروسافت، محققان سعی کردند این محموله XSS را اصلاح کنند تا ببینند چه چیزی ممکن است.

از آنجایی که Bing با مایکروسافت 365 ادغام می شود، تیم Wiz توانست اسکریپتی ایجاد کند که به طور بالقوه می تواند توکن های دسترسی کاربر وارد شده را بدزدد و به آنها امکان دسترسی به داده های ابری آن کاربر را بدهد. این می‌تواند شامل ایمیل‌های Outlook، تقویم‌ها، پیام‌های Teams، فایل‌های OneDrive و موارد دیگر باشد.

در مجموع، این بدان معناست که یک هکر می‌تواند این قدرت را داشته باشد که نتایج جستجوی Bing را به یک وب‌سایت مخرب هدایت کند و در عین حال داده‌های شخصی هر کاربری را که به حساب Microsoft 365 وارد شده است جمع‌آوری کند. همه اینها از سوءاستفاده از یک آسیب‌پذیری ساده ورود به سیستم.

خوشبختانه، محققان فوراً این حذف را به مایکروسافت گزارش کردند و مدت کوتاهی پس از آن تصحیح شد که منجر به پاداش 40000 دلاری باگ شد. با این حال، این یک مثال نگران‌کننده از این است که چقدر تلاش کمی برای سرقت داده‌های شخصی میلیون‌ها کاربر ناآگاه لازم است.

توصیه های سردبیران