La vulnerabilità in Bing ha consentito la manipolazione dei risultati di ricerca – computer – notizie

Un difetto nella configurazione di Azure ha consentito a qualsiasi utente di accedere al sistema di gestione dei contenuti attraverso il quale Microsoft gestisce Bing. Possono quindi modificare i risultati della ricerca e persino inserire un payload per hackerare gli account utente.

I ricercatori lo chiamano infusione rumore metallico. Si tratta di una configurazione errata di Azure Active Directory. La selezione dell’opzione errata nel back-end per consentire l’accesso agli utenti nella propria directory consentirà l’accesso a chiunque disponga di un account Azure. Questo si è rivelato il caso, ad esempio, dell’app Bing Trivia, che Microsoft utilizza per gestire i risultati delle ricerche sui quiz.

Si scopre che è possibile manipolare i risultati della ricerca nel carosello nella parte superiore dello schermo. I ricercatori possono anche inserire un carico utile per intercettare i token dagli utenti che hanno effettuato l’accesso. Qualsiasi utente che fa clic su di esso può consentire agli aggressori di accedere a tutte le applicazioni Microsoft, come la posta di Outlook e Sharepoint.

I ricercatori hanno notificato a Microsoft il 31 gennaio. La fuga di notizie si è chiusa il 2 febbraio. I ricercatori hanno quindi aspettato che tutte le piattaforme Azure in cui qualsiasi utente potesse accedere chiudessero la falla prima di loro Informazioni su BingBang Uscire.