פגיעות בינג אפשרה לשנות את תוצאות החיפוש

ניצול אבטחה מרכזי המאפשר לחוקרים לשנות את תוצאות החיפוש של בינג נחשף השבוע.

הפגיעות התגלתה בינואר על ידי חברת המחקר של אבטחת סייברקוֹסֵםודיווחו למרכז התגובה לאבטחה של מיקרוסופט (MSRC).

בשרשור טוויטר, חוקר Wiz הילאי בן-ססון הסביר כיצד הוא הצליח לפרוץ למערכת ניהול התוכן של בינג (CMS). על ידי כניסה לפלטפורמת מחשוב הענן של מיקרוסופט Azure, הוא גילה שהוא יכול להעניק לכל המשתמשים גישה לאפליקציות הפנימיות של Microsoft. לאחר מכן הוא ניגש למסד נתונים של תוצאות החיפוש של בינג. משם, בן-ססון הבין שהוא יכול למעשה לשנות את מה שהופיע בתוצאות.

מהירות אור מחית

חוקרי WIZ גילו גם כי בינג חשוף להתקפת סקריפט (XSS) וגילו שיש להם גישה לנתוני Office 365 רגישים כולל דוא"ל Outlook, מידע לוח שנה והודעות צוותים. עדכוני אבטחה מפורטים של MSRC והמלצות משותפות למנהלי מודעות Azure ומפתחים בהפוסט בבלוגו

ראה גם:

מטרת הניסוי של החוקרים הייתה להראות שזה אפשרי ולשתף את ממצאיו עם מיקרוסופט. אבל זה מראה עד כמה האקרים זדוניים יכלו לעורר הרס לבינג.

"שחקן זדוני עם אותה גישה יכול היה לחטוף את תוצאות החיפוש הפופולריות ביותר עם אותם עומס ומנתונים רגישים לדליפה ממיליוני משתמשים", אמר הפוסט בבלוג Wiz. למרבה המזל זה נתפס לפני שנגרם נזק גדול.