- 13,894
- 20
- 8 Ноя 2022
Никакой ИИ уже не поможет Microsoft опередить Google в сфере интернет-поиска.
Исследователи из компании Wiz Для просмотра ссылки Войдиили Зарегистрируйся , позволяющий манипулировать поисковой системой Bing и захватывать учетную запись пользователей. Уязвимость получила название «BingBang», а предоставленное исследование сосредоточено на нескольких приложениях Microsoft, причем все они связаны с новым типом атак, нацеленных на Azure Active Directory.
Azure Active Directory — это служба единого входа и многофакторной аутентификации, используемая множеством организаций по всему миру. К сожалению, неправильная настройка Azure может привести к ряду потенциально серьезных проблем. По словам Wiz, не менее 35% просканированных приложений оказались уязвимыми для обхода аутентификации Azure.
Возможно, наиболее ярким примером этой конкретной атаки является то, как открытый интерфейс администратора, привязанный к Bing, который позволял любому пользователю получить к нему доступ. Исследователи смогли не только изменить возвращаемые результаты для таких запросов, как «Лучший саундтрек», но и пойти немного дальше.
Тот же доступ также позволил исследователям провести атаку методом «межсайтовый скриптинг» (XSS) и скомпрометировать учётные данные абсолютно любого пользователя Bing, который использует Microsoft Office365. Оттуда специалисты смогли получить доступ к:
Потенциал для вредоносных действий здесь довольно широк. Скомпрометированные сервисы могут отправлять внутренние уведомления разработчикам Microsoft или рассылать электронные письма сразу большому количеству получателей. К счастью, Microsoft была оперативно уведомлена об этих проблемах и уже устранила уязвимость . Компания также добавила дополнительные авторизационные проверки, а также подтвердила, что реальные злоумышленники не успели воспользоваться описанной уязвимостью.
Исследователи из компании Wiz Для просмотра ссылки Войди
Azure Active Directory — это служба единого входа и многофакторной аутентификации, используемая множеством организаций по всему миру. К сожалению, неправильная настройка Azure может привести к ряду потенциально серьезных проблем. По словам Wiz, не менее 35% просканированных приложений оказались уязвимыми для обхода аутентификации Azure.
Возможно, наиболее ярким примером этой конкретной атаки является то, как открытый интерфейс администратора, привязанный к Bing, который позволял любому пользователю получить к нему доступ. Исследователи смогли не только изменить возвращаемые результаты для таких запросов, как «Лучший саундтрек», но и пойти немного дальше.
Тот же доступ также позволил исследователям провести атаку методом «межсайтовый скриптинг» (XSS) и скомпрометировать учётные данные абсолютно любого пользователя Bing, который использует Microsoft Office365. Оттуда специалисты смогли получить доступ к:
- личным данным
- электронным письмам Outlook
- файлам SharePoint
- сообщениям сервиса Teams
Потенциал для вредоносных действий здесь довольно широк. Скомпрометированные сервисы могут отправлять внутренние уведомления разработчикам Microsoft или рассылать электронные письма сразу большому количеству получателей. К счастью, Microsoft была оперативно уведомлена об этих проблемах и уже устранила уязвимость . Компания также добавила дополнительные авторизационные проверки, а также подтвердила, что реальные злоумышленники не успели воспользоваться описанной уязвимостью.
- Источник новости
- www.securitylab.ru
