جعلت ثغرة Bing من الممكن تغيير نتائج البحث

تم الكشف هذا الأسبوع عن ثغرة أمنية كبيرة سمحت للباحثين بتغيير نتائج بحث Bing.

تم اكتشاف الثغرة الأمنية في يناير من قبل شركة أبحاث الأمن السيبراني الحذق(يفتح في علامة تبويب جديدة) وأبلغ مركز الاستجابة الأمنية لـ Microsoft (MSRC).

في موضوع Twitter ، أوضح الباحث في Wiz Hillai Ben-Sasson كيف تمكن من اختراق نظام إدارة محتوى Bing (CMS). من خلال تسجيل الدخول إلى منصة الحوسبة السحابية من Microsoft Azure ، اكتشف أنه يمكنه منح جميع المستخدمين حق الوصول إلى تطبيقات Microsoft الداخلية. ثم تمكن من الوصول إلى قاعدة بيانات لنتائج بحث Bing. من هناك ، اكتشف بن ساسون أنه يمكنه بالفعل تعديل ما ظهر في النتائج.

اكتشف باحثو Wiz أيضًا أن Bing كان عرضة لهجوم البرمجة النصية عبر المواقع (XSS) واكتشفوا أن لديهم إمكانية الوصول إلى بيانات Office 365 الحساسة بما في ذلك رسائل البريد الإلكتروني في Outlook ومعلومات التقويم ورسائل Teams. تحديثات أمان مفصلة MSRC وتوصيات مشتركة لمسؤولي ومطوري Azure AD في ملف مشاركة مدونة(يفتح في علامة تبويب جديدة).

كان الغرض من تجربة الباحثين هو إظهار أنه كان ممكنًا ومشاركة نتائجها مع Microsoft. لكنه يُظهر كيف كان بإمكان المتسللين الخبثاء إحداث فوضى في Bing.

قال منشور مدونة Wiz: “كان بإمكان ممثل ضار له نفس الوصول أن يخطف نتائج البحث الأكثر شيوعًا بنفس الحمولة ويسرّب بيانات حساسة من ملايين المستخدمين”. لحسن الحظ تم اكتشافه قبل حدوث أي ضرر كبير.

ربما تم حذف التغريدة
(يفتح في علامة تبويب جديدة)
(يفتح في علامة تبويب جديدة)

مايكروسوفت مؤكد(يفتح في علامة تبويب جديدة) أنه تم إصلاحه اعتبارًا من 29 مارس. تلقت Wiz مبلغ 40.000 دولار “مكافأة خطأ” للإبلاغ عن الثغرة الأمنية ، والتي تخطط للتبرع بها إلى مستلم غير محدد.