Microsoft Bing: exploit ha permesso manipolazione dati sensibili e risultati ricerca
Topic
Approfondimenti
Trending
tutti

Microsoft Bing: exploit ha permesso manipolazione dati sensibili e risultati ricerca

Microsoft ha risolto un exploit su Bing che consentiva di rubare dati e manipolare i risultati di ricerca.
Microsoft Bing: exploit ha permesso manipolazione dati sensibili e risultati ricerca
Sicurezza
Microsoft ha risolto un exploit su Bing che consentiva di rubare dati e manipolare i risultati di ricerca.
Unsplash

All’inizio del 2023 gli esperti di cybersicurezza hanno identificato una vulnerabilità molto pericolosa nel motore di ricerca Bing di Microsoft: a causa di una configurazione errata in Azure, la piattaforma di cloud computing di Microsoft, Bing consentiva di modificare i risultati di ricerca globali e accedere alle informazioni private di altri utenti Bing da Teams, Outlook e Office 365, senza alcuna autorizzazione ufficiale.

Alla scoperta del “Bing Bang”

Soprannominata anche “Bing Bang”, questa vulnerabilità riguardava nello specifico il servizio di gestione delle identità e degli accessi di Azure Active Directory (AAD), tramite il quale qualunque utente Azure poteva manipolare migliaia di dati nel CMS di Bing Trivia, restituendo agli utenti risultati precedentemente impensabili o mai visti con certe query. Ad esempio, come potete vedere dal tweet sottostante, alla ricerca delle “migliori colonne sonore” il ricercatore Hillai Ben-Sasson è riuscito a inserire Hackers accanto a Soul e Dune.

Naturalmente questo è un esempio simpatico, ma la realtà è un’altra: un’indagine dei ricercatori di Wiz ha difatti rivelato che l’exploit poteva essere utilizzato per accedere ai dati di Office 365 di altri utenti, esponendo e-mail, calendari, messaggi di Teams, documenti di SharePoint e file di OneDrive di Outlook. L’exploit, alla fine, risultava presente in oltre 1.000 app e siti Web presenti sul cloud di Microsoft.

Ami Luttwak, Chief Technology Officer di Wiz, ha dichiarato:

“Un potenziale utente malintenzionato potrebbe aver influenzato i risultati di ricerca di Bing e compromesso le e-mail e i dati di Microsoft 365 di milioni di persone. Poteva essere uno stato-nazione che cerca di influenzare l’opinione pubblica, o un hacker motivato finanziariamente.”

Questa vulnerabilità è stata risolta formalmente il 20 marzo su tutte le piattaforme colpite, dopo l’invio della segnalazione al Security Response Center di Microsoft avvenuto il 31 gennaio. Microsoft e Wiz hanno comunque assicurato che non ci sono prove che la vulnerabilità sia stata sfruttata prima della patch.

Pubblicato il 30 mar 2023

Link copiato negli appunti

Ti potrebbe interessare

Facebook continua a non vedere l'annuncio phishing di Decathlon

Facebook continua a non vedere l'annuncio phishing di Decathlon
Booking.com sfruttato per una nuova truffa phishing

Booking.com sfruttato per una nuova truffa phishing
NoLag VPN è la VPN per i veri giocatori di Call of Duty

NoLag VPN è la VPN per i veri giocatori di Call of Duty
Italia - Francia: come vedere in streaming dall'estero la Nations League

Italia - Francia: come vedere in streaming dall'estero la Nations League
Facebook continua a non vedere l'annuncio phishing di Decathlon

Facebook continua a non vedere l'annuncio phishing di Decathlon
Booking.com sfruttato per una nuova truffa phishing

Booking.com sfruttato per una nuova truffa phishing
NoLag VPN è la VPN per i veri giocatori di Call of Duty

NoLag VPN è la VPN per i veri giocatori di Call of Duty
Italia - Francia: come vedere in streaming dall'estero la Nations League

Italia - Francia: come vedere in streaming dall'estero la Nations League
Francesco Santin
Pubblicato il
30 mar 2023
Link copiato negli appunti