Αποκαλύφθηκε ένα κρίσιμο κενό ασφαλείας της Microsoft, το οποίο δίνει τη δυνατότητα σε χάκερ να τροποποιήσουν τα αποτελέσματα του Bing και να αποκτήσουν πρόσβαση σε email του Outlook.
Η Microsoft διόρθωσε μια σοβαρή ευπάθεια στη μηχανή αναζήτησης Bing, η οποία θα επέτρεπε σε κακόβουλους φορείς να τροποποιήσουν τα αποτελέσματα αναζήτησης και να αποκτήσουν πρόσβαση στις πληροφορίες του Office 365.
Τον Ιανουάριο του 2023, οι ειδικοί της Wiz σε θέματα ασφάλειας στον κυβερνοχώρο εντόπισαν μια επικίνδυνη λανθασμένη ρύθμιση στο σύστημα διαχείρισης ταυτότητας και πρόσβασης Active Directory (AAD) της Microsoft Azure στην πλατφόρμα cloud της εταιρείας.
Αυτή η ευπάθεια μπορεί όχι μόνο να χειραγωγήσει τα αποτελέσματα των μηχανών αναζήτησης, αλλά θα μπορούσε επίσης να παρέχει σε ξένους μη εξουσιοδοτημένη πρόσβαση σε ιδιωτικά δεδομένα του Office 365, όπως email και calendar events του Outlook, μηνύματα του Teams, αρχεία του OneDrive και άλλα.
Δείτε επίσης: Η απληστία της Microsoft θα είναι το τέλος των AI chatbots;
Συνηθισμένο φαινόμενο
Ορισμένες εφαρμογές στο Azure μπορούν να χρησιμοποιούν άδεια multi-tenant και, επομένως, να είναι προσβάσιμες από οποιονδήποτε χρήστη του Azure. Αυτό σημαίνει ότι οι προγραμματιστές πρέπει να ορίσουν έναν τρόπο επικύρωσης των χρηστών και να παρακολουθούν ποιος έχει πρόσβαση σε τι. Σύμφωνα με το The Verge, εδώ είναι που πολλοί το κάνουν λάθος, καθώς οι εσφαλμένες διαμορφώσεις από αυτή την άποψη είναι «ένα συνηθισμένο φαινόμενο». Η Wiz λέει ότι το 25% όλων των εφαρμογών multi-tenant που σάρωνε δεν είχαν καλή επικύρωση.
Αυτό ακριβώς συνέβη με το Bing Trivia και αυτό επέτρεψε στους ερευνητές να συνδεθούν με τους δικούς τους λογαριασμούς Azure. Μόλις συνδεθούν, τους παραχωρήθηκε πρόσβαση σε ένα σύστημα διαχείρισης περιεχομένου (CMS) το οποίο τους επέτρεψε να αλλάξουν live αποτελέσματα αναζήτησης από το Bing. Οι ερευνητές είπαν ότι δεν έκαναν τίποτα θεαματικό εδώ – όποιος ήξερε πώς να φτάσει στη σελίδα Bing Trivia θα μπορούσε να είχε κάνει το ίδιο.
Δείτε επίσης: Microsoft Defender: Επισημαίνει κατά λάθος διευθύνσεις URL ως κακόβουλες
Εκτός από την αλλαγή των αποτελεσμάτων των μηχανών αναζήτησης, οι ερευνητές ανακάλυψαν επίσης ότι τους δόθηκε πρόσβαση σε δεδομένα του Office 365 άλλων ατόμων, όπως email του Outlook, ημερολόγια, μηνύματα Teams, αρχεία OneDrive και άλλα. Οι ερευνητές το δοκίμασαν σε ένα εικονικό inbox email και επιβεβαίωσαν την ευπάθεια. Αλλά η εμβέλεια της ευπάθειας δεν τελειώνει εδώ – υπάρχουν περισσότερες από 1.000 εφαρμογές και ιστότοποι στο Microsoft cloud που είχαν παρόμοιες καταχρηστικές εσφαλμένες διαμορφώσεις, όπως Mag News, PoliCheck, Cosmos και άλλα.
Δείτε επίσης: Το Microsoft OneNote θα αποκλείσει 120 επικίνδυνες επεκτάσεις αρχείων
«Ένας πιθανός εισβολέας θα μπορούσε να έχει επηρεάσει τα αποτελέσματα αναζήτησης του Bing και να έχει θέσει σε κίνδυνο τα email του Microsoft 365 και τα δεδομένα εκατομμυρίων ανθρώπων», δήλωσε η Ami Luttwak, επικεφαλής τεχνολογίας της Wiz, στη Wall Street Journal. «Θα μπορούσε να ήταν ένα έθνος-κράτος που προσπαθούσε να επηρεάσει την κοινή γνώμη ή ένας χάκερ με οικονομικά κίνητρα».
Η Microsoft ενημερώθηκε στις 31 Ιανουαρίου και μέχρι τις 20 Μαρτίου αντιμετώπισε πλήρως την ευπάθεια. Οι ερευνητές δεν βρήκαν κανένα στοιχείο προηγούμενης κακοποίησης.
Πηγή πληροφοριών: techradar.com
