Der Sicherheitsanbieter Wiz Research hat eine Schwachstelle in Azure Active Directory (AAD) entdeckt, die es Unbefugten erlaubt, Ergebnisse von Microsofts Suchmaschine Bing zu manipulieren. Der Angriffsvektor basiert auf einer weit verbreiteten AAD-Fehlkonfiguration, durch die falsch konfigurierte Anwendungen unberechtigten Zugriffen ausgesetzt werden. Inzwischen wurde das Loch durch Microsoft gestopft.
Die Forscher fanden nach eigenen Angaben mehrere interne Apps von Microsoft, die Anfällig für diesen Angriff waren. Darunter war auch ein Content Management System für die Suchmaschine Bing. „Auf diese Weise konnten sie die Funktionen von Bing.com übernehmen, Suchergebnisse ändern und möglicherweise den Diebstahl von Office 365-Anmeldedaten von Millionen von Bing-Nutzern ermöglichen. Diese Zugangsdaten gewährten wiederum Zugriff auf private E-Mails und Dokumente von Nutzern“, teilte Wiz Research mit.
Das Unternehmen weist darauf hin, dass für den „#BingBang“ genannte Angriff keine einzige Zeile Code benötigt wird. Microsoft sei unmittelbar nach Entdeckung des Fehlers informiert worden. Der Softwarekonzern habe den Fehler nicht nur schnell behoben, sondern auch Änderungen eingeführt, um künftige Risiken für Kunden zu minimieren.
Suchergebnisse von Bing konnten die Forscher über die falsch konfigurierte CMS-App in Echtzeit verändern. Zur Suche nach der besten Filmmusik ersetzten die Forscher das erste Ergebnis „Dune (2021)“ durch die eigene Lieblingsfilmmusik zum Film Hackers aus dem Jahr 1985.
In einem zweiten Schritt versuchten die Forscher, die Anfälligkeit für Cross-Site-Scripting gegen Office-365-Konten einzusetzen. Dabei stellten sie fest, dass es möglich war, die Office-365-Token jeglicher Bing-Nutzer zu kompromittieren. Da Bing die Möglichkeit biete, auch die Office-365-Daten von Nutzern zu durchsuchen, kommuniziere Bing mit Office 365 im Namen des angemeldeten Benutzers. Mit einer selbst entwickelten Cross-Site-Scripting-Malware sei es ihnen schließlich gelungen, Zugangs-Token für Office 365 zu stehlen. Mit einem solche Token erhalte ein Angreifer unter Umständen Zugang zu E-Mails, Teams-Nachrichten oder auch SharePoint-Dokumenten und OneDrive-Dateien.
Audiolösung für Konferenzräume vereint Mikrofon-, Lautsprecher- und DSP-Technologie in einem Gerät.
Künstliche Intelligenz hat sich als sehr nützliches Werkzeug für die Entwicklung einer effektiveren maschinellen Übersetzung…
Acht Anfälligkeiten gelten als besonders schwerwiegend. Sie stecken unter anderem in der JavaScript-Engine und im…
Den Support gewährt Mozilla ab Firefox 115 nur noch über das Extended Support Release. Die…
CloudGuard Network Security lässt sich nahtlos in den Azure Virtual WAN Hub integrieren.
Für eine neue gemeinsame Bezeichnung der beiden Technologien, plädiert Gastautor Tino Fliege von OutSystems.