Microsoft załatał lukę w oprogramowaniu, przez którą każdy był w stanie manipulować wynikami wyszukiwania w Bing

Analitycy z firmy Wiz Research pod koniec stycznia tego roku znaleźli lukę w oprogramowaniu, która umożliwiała każdemu dostęp do poufnych danych użytkowników korzystających z Office 365 oraz modyfikowanie wyników wyszukiwania Bing. Microsoft został niezwłocznie poinformowany o tym "znalezisku". Jednak przez cały czas aż do jej załatania, użytkownicy Bing Search byli narażeni na wyciek spreparowane wyniki wyszukiwania oraz wyciek ich danych.

Przez źle skonfigurowaną aplikację Microsoftu każdy mógł zmieniać wyniki wyszukiwania Bing oraz użyć cyberataku XSS. Zagrożone były również poufne danych wszystkich, którzy korzystają z usługi Office 365.

Windows 12 - pojawiły się nieoficjalne informacje na temat nowego systemu Microsoftu. Na jakie zmiany można liczyć?

Okazuje się, że w trakcie tworzenia aplikacji na platformie Microsoftu Azure może zostać ona błędnie skonfigurowana, przez co praktycznie każdy jest w stanie się do niej zalogować. Wszystko opiera się na błędnie utworzonych uprawnieniach. Sporo aplikacji pozwala bowiem na dostęp wielu użytkownikom w celu ich kontrolowania. Działa to na takiej samej zasadzie jak choćby internetowe arkusze Google. Wielu użytkowników może mieć dostęp do tego samego arkusza, jednak nie każdy ma uprawnienia, aby zmieniać wszystko. Jednak według przeprowadzonych badań aż 25% aplikacji było źle skonfigurowanych pod tym względem. Część z nich należała do Microsoftu i właśnie to pozwoliło na dostęp do wyników wyszukiwania. 

Microsoft Bing wkrótce doczeka się integracji z generatorem DALL-E. Wstępna wersja narzędzia jest już dostępna do testowania

Analitycy znaleźli aplikację Bing Trivia, do której każdy mógł się zalogować, a zarazem uzyskać dostęp do CMS (czyli do systemu zarządzania treścią). Jak można się domyślić, była ona połączona z wyszukiwarką Bing. Dla upewnienia się, że mają oni kontrolę nad wyświetlaną treścią, postanowili zmienić wynik wyszukiwania frazy "najlepsze soundtracki". Oryginalnie na karuzeli wyników powinien pojawić się film Diuna, jednak po zmianie pozycji w CMS na film Hakerzy, Bing natychmiast je zaktualizował. Dalsze analizy wykazały, że jest możliwe również zdalne wstrzykiwanie kodu do Bing Search poprzez atak XSS. Pozwalało to przechwycić token usługi Office 365 i uzyskać pełny dostęp do kont użytkowników, którzy z niej korzystają. Dostępne były więc maile z Outlooka, pliki umieszczone w usłudze OneDrive czy też wiadomości z komunikatora Microsoft Teams.

Windows 11 - najnowsza aktualizacja systemu operacyjnego Microsoftu może znacząco spowalniać nośniki SSD

Jak na to wszystko zareagował Microsoft? Krótko mówiąc: niezbyt się tym przejął. Gigant z Redmond twierdzi, że aplikacji, które były źle skonfigurowane, było bardzo mało, a sam problem szybko został naprawiony. Dodatkowo wzmocniono zabezpieczenia, mające chronić przed nieautoryzowanym dostępem w przyszłości. Tokeny nie są już dłużej udostępniane niezarejestrowanym użytkownikom, więc przejęcie kontroli nad poufnymi danymi nie będzie takie proste. Sama firma Wiz Research za podzielenie się swoim odkryciem z Microsoftem otrzymała 40 tysięcy dolarów nagrody (tzw. "bug bounty").