(https://i.postimg.cc/nLxkGCwn/microsoft-bug-bounty.jpg) (https://postimages.org/)
Wiz Research identificó un nuevo vector de ataque en Azure Active Directory (AAD) que comprometió Bing.com de Microsoft. La vulnerabilidad permitía el acceso no autorizado a aplicaciones mal configuradas y varias aplicaciones de Microsoft, incluido el Sistema de gestión de contenido (CMS), que alimenta a Bing.com.
Los investigadores pudieron hacerse cargo de la funcionalidad de Bing.com, modificar los resultados de búsqueda y potencialmente permitir el robo de credenciales de Office 365 de millones de usuarios de Bing. Wiz Research llamó a este ataque "BingBang" y no requirió ningún código para explotar.
Cómo los investigadores alteraron los resultados de búsqueda de Bing.com (Crédito de la imagen: WIZ)
(https://i.postimg.cc/QNFTKVBn/bing-search-result-takeover-vulnerability.png) (https://postimages.org/)
Microsoft reparó sus aplicaciones vulnerables y modificó algunas funciones de AAD para reducir la exposición de los clientes después de que Wiz Research revelara los problemas de manera responsable. Microsoft otorgó a Wiz Research $ 40,000 como recompensa por errores.
Los investigadores descubrieron que el 25 % de las aplicaciones multiusuario escaneadas en Internet eran vulnerables, incluida una aplicación creada por Microsoft llamada "Bing Trivia". Después de iniciar sesión en Bing Trivia con su propio usuario de Azure, encontraron un CMS vinculado a Bing.com.
Además, alteraron temporalmente el contenido de una palabra clave en el CMS para demostrar que podían controlar los resultados de búsqueda arbitrarios en Bing.com. Si alguien con intenciones maliciosas accedió a la página de la aplicación Bing Trivia, podría alterar los resultados de la búsqueda, difundir información falsa e intentar engañar a las personas para que proporcionen su información personal haciéndose pasar por otros sitios web.
Los investigadores descubrieron además que podían usar Cross-Site Scripting (XSS) para comprometer el token de Office 365 de cualquier usuario de Bing. Bing y Office 365 están integrados, y Bing tiene una sección de "Trabajo" que permite a los usuarios buscar sus datos de Office 365. Usando esta función, los investigadores crearon una carga útil XSS que robó los tokens de acceso de Office 365 de los usuarios.
Con un token robado, un posible atacante podría acceder a los datos de Office 365 de los usuarios de Bing, incluidos correos electrónicos de Outlook, calendarios, mensajes de Teams, documentos de SharePoint y archivos de OneDrive. Millones de usuarios podrían haber estado expuestos a resultados de búsqueda maliciosos y al robo de datos de Office 365.
En un informe, Wiz advirtió que cualquier organización con aplicaciones de Azure Active Directory (AAD) configuradas como multiusuario y sin verificaciones de autorización estaba en riesgo de sufrir ataques similares. Por lo tanto, se recomienda a los administradores que se aseguren de que el acceso de múltiples inquilinos esté configurado correctamente o que cambien a la autenticación de un solo inquilino si no se requiere multi-inquilino. También se recomienda verificar los registros de actividad pasada en aplicaciones vulnerables.
La vulnerabilidad descubierta en Bing.com sirve como un recordatorio de que un simple error del desarrollador puede tener implicaciones críticas, lo que podría interrumpir uno de los sitios web más populares del mundo. La flexibilidad de la infraestructura de la nube acelera la innovación, pero también trae cambios y nuevos riesgos.
En este caso, un usuario puede exponer accidentalmente un servicio confidencial a Internet con solo hacer clic en un botón. Como creadores de la nube, la agilidad con la que desarrollamos e implementamos aplicaciones debe coincidir con nuestras prácticas de seguridad, y la seguridad debe integrarse en cada paso del proceso de desarrollo.
Fuente:
HackRead
https://www.hackread.com/bing-search-result-takeover-vulnerability/