La vulnerabilità in Bing ha consentito la manipolazione dei risultati di ricerca – Informatica – News

Un difetto nella configurazione di Azure ha consentito a qualsiasi utente di connettersi al CMS attraverso il quale Microsoft gestisce Bing. Potrebbero quindi modificare i risultati della ricerca e persino inserire un payload per penetrare negli account utente.

I ricercatori lo chiamano una perdita bing bang. È una configurazione errata di Azure Active Directory. Se selezioni l’opzione sbagliata nel back-end per consentire agli utenti di accedere alla propria directory, chiunque abbia un account Azure avrà accesso. Questo si è dimostrato il caso, ad esempio, dell’app Bing Trivia, che Microsoft utilizza per gestire i risultati delle ricerche sui quiz.

Si è rivelato possibile manipolare i risultati della ricerca nel carosello nella parte superiore dello schermo. I ricercatori potrebbero anche posizionare lì un payload per intercettare i token degli utenti che hanno effettuato l’accesso. Qualsiasi utente che fa clic su di esso può consentire agli aggressori di accedere a tutte le applicazioni Microsoft, come la posta elettronica di Outlook e Sharepoint.

I ricercatori hanno notificato a Microsoft il 31 gennaio. La fuga di notizie è stata chiusa il 2 febbraio. I ricercatori hanno quindi atteso che tutte le piattaforme Azure a cui qualsiasi utente potesse accedere avessero chiuso la falla prima di farlo. Informazioni su BingBang uscito.

READ  "Oggi sto bene, ma non so cosa succederà. Voglio il Mondiale con il Portogallo"

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *