Uma falha na configuração do Azure permitia que qualquer usuário fizesse login no CMS por meio do qual a Microsoft gerencia o Bing. Eles poderiam modificar os resultados da pesquisa e até mesmo inserir uma carga útil para penetrar nas contas dos usuários.
Os pesquisadores chamam o vazamento de BingBang. É uma configuração incorreta do Azure Active Directory. Selecionar a opção errada no back-end para permitir o acesso aos usuários em seu próprio diretório resulta em qualquer pessoa com uma conta do Azure tendo acesso. Esse foi o caso, por exemplo, do aplicativo Bing Trivia, que a Microsoft usa para gerenciar resultados de pesquisa de curiosidades.
Tornou-se possível manipular os resultados da pesquisa no carrossel na parte superior da tela. Os pesquisadores também podem colocar uma carga nele para interceptar tokens de usuários logados. Qualquer usuário que clicar nele pode dar aos invasores acesso a todos os aplicativos da Microsoft, como correio do Outlook e Sharepoint.
Os pesquisadores notificaram a Microsoft em 31 de janeiro. O vazamento foi fechado em 2 de fevereiro. Os pesquisadores então esperaram até que todas as plataformas do Azure onde qualquer usuário pudesse fazer login fechassem o vazamento antes de liberar informações sobre o BingBang.
Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site.
Adicionar comentário