Bing の検索結果で重大なセキュリティ上の欠陥が発見されました。幸いなことに、害よりも恐怖の方が大きかったです。
の欠陥安全メジャーは最近発見されました。これにより、専門家は、検索結果を意図的に変更するのビング。この脆弱性はサイバーセキュリティ会社 Wiz によって昨年 1 月に発見され、直ちに通報されました。マイクロソフトセキュリティ対応センター(MSRC)。
会話の中でツイッター, Wiz 研究者のヒライ・ベン・サッソン氏は、Wiz のコンテンツ管理システム (CMS) をハッキングする方法を説明しました。ビング。 Microsoft の Azure クラウド プラットフォームに接続することで、すべてのユーザーにレドモンド会社の社内アプリへのアクセスを許可できることを発見しました。次に、Bing 検索結果のデータベースにアクセスしました。そこから、ヒライ・ベン・サッソンは結果に表示される内容を自由に変更する方法を発見しました。
Wiz の研究者はまた、Bing がクロスサイト スクリプティング (XSS) 攻撃に対して脆弱であることを発見し、Outlook メール、情報カレンダー、Teams メッセージを含む Office 365 の機密データにアクセスできることを発見しました。 MSRC は、対応するセキュリティ更新プログラムについて詳しく説明し、Azure 開発者と管理者向けの推奨事項を共有しました。彼のブログの投稿。
幸いなことに、害よりも恐怖の方が大きい
これらの研究者らの実験の目的は、それが可能であることを示し、これらすべてを他の人々と共有することでした。マイクロソフト。しかし、このことは、ハッカーがどのようにして Bing に損害を与えた可能性があるかも示しています。ウィズのブログの投稿には、「同じアクセス権を持つ悪意のある人物が同じ手順で最も人気のある検索結果をハッキングし、数百万人のユーザーのデータが漏洩した可能性がある」と述べられている。
幸いなことに、被害よりも恐怖のほうが強く、大きな被害は出ていないようです。 Microsoft は、この脆弱性が今週末に修正されたことを確認しました。そして同時に、Wiz はこの欠陥を報告したバグ報奨金プログラムを通じて 40,000 ドルの報奨金を受け取りました。同社は、それを任意の団体に寄付すると発表した。
ハッキングしてしまいました@BingCMS のおかげで検索結果を変更し、何百万もの検索結果を引き継ぐことができました@Office365アカウント。
どうやってやったの?すべては単純なクリックから始まりました@Azure… 👀
これはの話です#ビンバン🧵⬇️pic.twitter.com/9pydWvHhJs— ヒライ・ベン・サッソン (@hillai)2023 年 3 月 29 日
