Esta falla de Bing permite que los piratas informáticos cambien los resultados de búsqueda y roben sus archivos

Aranzulla de Los Pobres

Recientemente, un investigador de seguridad pudo cambiar los resultados principales en el motor de búsqueda Bing de Microsoft y acceder a los archivos privados de cualquier usuario, lo que podría poner en riesgo a millones de usuarios, y todo lo que necesitó fue iniciar sesión en una página web no segura.

El exploit fue descubierto por la investigadora Hillai Ben-Sasson en su equipo de Wiz, una empresa de seguridad en la nube. Según Ben-Sasson , no solo permitiría a un atacante cambiar los resultados de búsqueda de Bing, sino que también le otorgaría acceso a los archivos y datos privados de millones de usuarios.

Apodada BingBang por el grupo de investigación, la vulnerabilidad se centró en Azure Active Directory de Microsoft, que las empresas utilizan para administrar las identidades de los usuarios y el acceso a las aplicaciones. Desafortunadamente, si una aplicación está mal configurada, cualquier usuario de Azure en el mundo puede iniciar sesión sin las credenciales adecuadas.

Sorprendentemente, los investigadores notaron en un análisis técnico del error que hasta el 25% de todas las aplicaciones multiusuario que escanearon eran vulnerables, incluida una aplicación de Microsoft llamada Bing Trivia.

Después de explotar la falla para iniciar sesión en la aplicación Bing Trivia, el equipo de Wiz encontró un sistema de administración de contenido (CMS) vinculado a Bing.com que controlaba los resultados en vivo del motor de búsqueda. Con un toque de humor, modificaron una de las entradas, cambiando el resultado principal de "mejores bandas sonoras" de la partitura de Dune a la de la película Hackers de 1995.

Sin embargo, no hay nada gracioso en lo que implica este defecto. Como explicaron los investigadores, "un actor malicioso que acceda a la página de la aplicación Bing Trivia podría haber manipulado cualquier término de búsqueda y lanzado campañas de desinformación, así como suplantación de identidad y suplantación de identidad de otros sitios web".

Robo de archivos y correos electrónicos privados

Una comparación de los resultados de búsqueda de Bing antes y después de que se aplicara la explotación de BingBang, que muestra cómo se podría modificar la lista de bandas sonoras de películas recomendadas.

Además, los investigadores pudieron agregar una carga inofensiva de secuencias de comandos entre sitios (XSS) en Bing mientras estaban conectados. Esto pudo ejecutarse como se esperaba, sin interferencias. Después de informar el problema a Microsoft, los investigadores intentaron modificar esta carga útil XSS para ver qué era posible.

Debido a que Bing se integra con Microsoft 365 , el equipo de Wiz pudo crear un script que potencialmente podría robar los tokens de acceso de un usuario que inició sesión, otorgándoles acceso a los datos en la nube de ese usuario. Eso podría incluir correos electrónicos de Outlook , calendarios, mensajes de Teams, archivos de OneDrive y más.

En conjunto, eso significa que un pirata informático podría tener el poder de redirigir los resultados de búsqueda de Bing a un sitio web malicioso y, al mismo tiempo, recopilar datos privados de cualquier usuario que inicie sesión en una cuenta de Microsoft 365. Todo a partir de la explotación de una simple vulnerabilidad de inicio de sesión.

Afortunadamente, los investigadores informaron de inmediato la falla a Microsoft y se corrigió poco después, lo que resultó en una recompensa por errores de $ 40,000. Sin embargo, sigue siendo un ejemplo alarmante de cuán poco esfuerzo se puede requerir para robar datos privados de millones de usuarios desprevenidos.