Un difetto nella configurazione di Azure ha consentito a qualsiasi utente di accedere al sistema di gestione dei contenuti attraverso il quale Microsoft gestisce Bing. Possono quindi modificare i risultati della ricerca e persino inserire un payload per hackerare gli account utente.
I ricercatori lo chiamano infusione rumore metallico. Si tratta di una configurazione errata di Azure Active Directory. La selezione dell’opzione errata nel back-end per consentire l’accesso agli utenti nella propria directory consentirà l’accesso a chiunque disponga di un account Azure. Questo si è rivelato il caso, ad esempio, dell’app Bing Trivia, che Microsoft utilizza per gestire i risultati delle ricerche sui quiz.
Si scopre che è possibile manipolare i risultati della ricerca nel carosello nella parte superiore dello schermo. I ricercatori possono anche inserire un carico utile per intercettare i token dagli utenti che hanno effettuato l’accesso. Qualsiasi utente che fa clic su di esso può consentire agli aggressori di accedere a tutte le applicazioni Microsoft, come la posta di Outlook e Sharepoint.
I ricercatori hanno notificato a Microsoft il 31 gennaio. La fuga di notizie si è chiusa il 2 febbraio. I ricercatori hanno quindi aspettato che tutte le piattaforme Azure in cui qualsiasi utente potesse accedere chiudessero la falla prima di loro Informazioni su BingBang Uscire.
“Fanatico della TV. Dipendente del web. Evangelista di viaggi. Aspirante imprenditore. Esploratore dilettante. Scrittore.”