Η πρόσφατη ανακάλυψη μιας ευπάθειας XSS στο Bing.com έχει εγείρει σημαντικές ανησυχίες για την ασφάλεια, επιτρέποντας ενδεχομένως στους εισβολείς να στέλνουν κακόβουλα αιτήματα στις διασυνδεδεμένες εφαρμογές της Microsoft.
Δείτε επίσης: Η διακοπή λειτουργίας της Microsoft επηρεάζει Bing, Copilot, DuckDuckGo και ChatGPT
Αυτή η ευπάθεια, που εντοπίστηκε στον κύριο τομέα του Bing, υπογραμμίζει τους κινδύνους που σχετίζονται με τις εκτεταμένες ενσωματώσεις υπηρεσιών ιστού και υπογραμμίζει τη δυνατότητα για εκμετάλλευση μεγάλης κλίμακας.
Η ευπάθεια XSS αποκαλύφθηκε κατά τη διάρκεια μιας λεπτομερούς εξέτασης των επιφανειών επίθεσης API του Bing, εστιάζοντας ιδιαίτερα στον τρόπο με τον οποίο ο κύριος τομέας του Bing αλληλεπιδρά με άλλες υπηρεσίες της Microsoft.
Clone Alpha: Νέο επαναστατικό ανθρωποειδές ρομπότ
Χάκερ χρησιμοποιούν webcam χωρίς να εντοπίζονται
Αστεροειδής φλέγεται πάνω από τη Σιβηρία
Η έρευνα αποκάλυψε ότι μια ευπάθεια XSS θα μπορούσε να χρησιμοποιηθεί για την εκτέλεση αυθαίρετου JavaScript στον κύριο τομέα του Bing, «www.bing.com».
Ο ερευνητής, “pedbap” παρατήρησε ότι αυτή η εκτέλεση θα μπορούσε στη συνέχεια να αξιοποιηθεί για τη δημιουργία κακόβουλων αιτημάτων που στοχεύουν άλλες εφαρμογές της Microsoft στις οποίες οι χρήστες είναι συνδεδεμένοι από προεπιλογή, όπως το Outlook, το Copilot και το OneDrive.
Δείτε ακόμα: iMessage & Microsoft Bing αποφεύγουν το τεχνολογικό crackdown της ΕΕ
Η επίθεση ξεκινά με την εκμετάλλευση της ευπάθειας XSS για τη δημιουργία ενός κακόβουλου συνδέσμου. Αυτός ο σύνδεσμος επιτρέπει στους εισβολείς να εκτελέσουν JavaScript στο πλαίσιο του κύριου τομέα του Bing.
Δεδομένης της ενσωμάτωσης του Bing με άλλες υπηρεσίες της Microsoft, το κακόβουλο σενάριο μπορεί να στείλει αιτήματα που ενεργοποιούν ευαίσθητες ενέργειες σε αυτές τις πλατφόρμες.
Η ευρεία χρήση του Bing ενισχύει τον πιθανό αντίκτυπο της επίθεσης, καθώς εκατομμύρια χρήστες αλληλεπιδρούν καθημερινά με τις λειτουργίες του Bing. Μόλις εκτελεστεί, το κακόβουλο JavaScript θα μπορούσε να έχει πρόσβαση σε δεδομένα χρήστη σε πολλές υπηρεσίες της Microsoft.
Η ανακάλυψη υπογραμμίζει σημαντικές επιπτώσεις στην ασφάλεια τόσο για τους χρήστες όσο και για τη Microsoft. Η δυνατότητα εκτέλεσης επιθέσεων XSS από έναν αξιόπιστο τομέα όπως το Bing αποτελεί σοβαρή απειλή, καθώς μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση και χειραγώγηση δεδομένων.
Δείτε επίσης: Πώς να χρησιμοποιήσετε το Microsoft Copilot σε iOS και iPadOS;
Η ευπάθεια cross-site scripting (XSS), όπως αυτή του Bing, είναι ένα ελάττωμα ασφαλείας που εντοπίζεται σε εφαρμογές web και επιτρέπει στους εισβολείς να εισάγουν κακόβουλα σενάρια σε περιεχόμενο που παραδίδεται στους χρήστες. Αυτά τα σενάρια μπορούν να εκτελεστούν στο πλαίσιο μιας νόμιμης συνεδρίας χρήστη, λαμβάνοντας πιθανώς ευαίσθητα δεδομένα όπως cookie, διακριτικά περιόδου λειτουργίας ή άλλες λεπτομέρειες σύνδεσης. Οι επιθέσεις XSS συμβαίνουν γενικά όταν μια εφαρμογή περιλαμβάνει μη αξιόπιστα δεδομένα σε μια ιστοσελίδα που αποστέλλεται σε έναν χρήστη χωρίς κατάλληλη επικύρωση. Για την αποτροπή τέτοιων τρωτών σημείων, οι προγραμματιστές θα πρέπει να χρησιμοποιούν ισχυρές πολιτικές επικύρωσης εισόδου, διαφυγής και ασφάλειας περιεχομένου για να διασφαλίσουν ότι τυχόν επιβλαβή σενάρια εξουδετερώνονται πριν από την απόδοση στο πρόγραμμα περιήγησης του πελάτη.
Πηγή: cybersecuritynews