La vulnerabilità in Bing ha consentito la manipolazione dei risultati di ricerca – Informatica – News

Un difetto nella configurazione di Azure ha consentito a qualsiasi utente di connettersi al CMS attraverso il quale Microsoft gestisce Bing. Potrebbero quindi modificare i risultati della ricerca e persino inserire un payload per penetrare negli account utente.

I ricercatori lo chiamano una perdita bing bang. È una configurazione errata di Azure Active Directory. Se selezioni l’opzione sbagliata nel back-end per consentire agli utenti di accedere alla propria directory, chiunque abbia un account Azure avrà accesso. Questo si è dimostrato il caso, ad esempio, dell’app Bing Trivia, che Microsoft utilizza per gestire i risultati delle ricerche sui quiz.

Si è rivelato possibile manipolare i risultati della ricerca nel carosello nella parte superiore dello schermo. I ricercatori potrebbero anche posizionare lì un payload per intercettare i token degli utenti che hanno effettuato l’accesso. Qualsiasi utente che fa clic su di esso può consentire agli aggressori di accedere a tutte le applicazioni Microsoft, come la posta elettronica di Outlook e Sharepoint.

I ricercatori hanno notificato a Microsoft il 31 gennaio. La fuga di notizie è stata chiusa il 2 febbraio. I ricercatori hanno quindi atteso che tutte le piattaforme Azure a cui qualsiasi utente potesse accedere avessero chiuso la falla prima di farlo. Informazioni su BingBang uscito.

READ  Xiaomi annuncia giovedì 13 smartphone Xiaomi - Tablet e telefoni - Notizie

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *