Исследователи из компании Wiz обнаружили способ , позволяющий манипулировать поисковой системой Bing и захватывать учетную запись пользователей. Уязвимость получила название “BingBang”, а предоставленное исследование сосредоточено на нескольких приложениях Microsoft, причем все они связаны с новым типом атак, нацеленных на Azure Active Directory.
Azure Active Directory – это служба единого входа и многофакторной аутентификации, используемая множеством организаций по всему миру. К сожалению, неправильная настройка Azure может привести к ряду потенциально серьезных проблем. По словам Wiz, не менее 35% просканированных приложений оказались уязвимыми для обхода аутентификации Azure.
Возможно, наиболее ярким примером этой конкретной атаки является то, как открытый интерфейс администратора, привязанный к Bing, который позволял любому пользователю получить к нему доступ. Исследователи смогли не только изменить возвращаемые результаты для таких запросов, как “Лучший саундтрек”, но и пойти немного дальше.
Тот же доступ также позволил исследователям провести атаку методом “межсайтовый скриптинг” (XSS) и скомпрометировать учётные данные абсолютно любого пользователя Bing, который использует Microsoft Office365. Оттуда специалисты смогли получить доступ к:
- личным данным
- электронным письмам Outlook
- файлам SharePoint
- сообщениям сервиса Teams
Wiz отмечает, что Bing является 27-м по посещаемости веб-сайтом в мире, так что это явно большой целевой пул для потенциальных атак. Не говоря уж о том, что Bing стал не единственным сервисом, уязвимым к “BingBang”. Под удар также попали: Mag News, MSN, PoliCheck, Power Automate Blog и т.д.
Потенциал для вредоносных действий здесь довольно широк. Скомпрометированные сервисы могут отправлять внутренние уведомления разработчикам Microsoft или рассылать электронные письма сразу большому количеству получателей. К счастью, Microsoft была оперативно уведомлена об этих проблемах и уже устранила уязвимость. Компания также добавила дополнительные авторизационные проверки, а также подтвердила, что реальные злоумышленники не успели воспользоваться описанной уязвимостью.