Un difetto nella configurazione di Azure ha consentito a qualsiasi utente di connettersi al CMS attraverso il quale Microsoft gestisce Bing. Potrebbero quindi modificare i risultati della ricerca e persino inserire un payload per penetrare negli account utente.
I ricercatori lo chiamano una perdita bing bang. È una configurazione errata di Azure Active Directory. Se selezioni l’opzione sbagliata nel back-end per consentire agli utenti di accedere alla propria directory, chiunque abbia un account Azure avrà accesso. Questo si è dimostrato il caso, ad esempio, dell’app Bing Trivia, che Microsoft utilizza per gestire i risultati delle ricerche sui quiz.
Si è rivelato possibile manipolare i risultati della ricerca nel carosello nella parte superiore dello schermo. I ricercatori potrebbero anche posizionare lì un payload per intercettare i token degli utenti che hanno effettuato l’accesso. Qualsiasi utente che fa clic su di esso può consentire agli aggressori di accedere a tutte le applicazioni Microsoft, come la posta elettronica di Outlook e Sharepoint.
I ricercatori hanno notificato a Microsoft il 31 gennaio. La fuga di notizie è stata chiusa il 2 febbraio. I ricercatori hanno quindi atteso che tutte le piattaforme Azure a cui qualsiasi utente potesse accedere avessero chiuso la falla prima di farlo. Informazioni su BingBang uscito.
“Ninja pancetta. Guru del caffè per tutta la vita. Drogato di cibo malvagio. Aspirante risolutore di problemi. Creatore tipico.”
You may also like
-
Intelligenza artificiale generativa e cybersecurity: quali rischi nel 2024
-
Elettrodomestici a portata di mano: controllare la tua casa con l’App del tuo smartphone
-
Battito cardiaco, come uno smartwatch può salvarti la vita
-
Honor 90: Il Nuovo Design Mozzafiato che Stupirà gli Appassionati di Smartphone
-
Sappiamo di più su come tenere il telefono acceso a letto con Pokémon Sleep