A descoberta foi feita pela equipe de analistas do Wiz Research, um grupo de profissionais que visa detectar ameaças à nuvem e construir mecanismos para protegê-la. Eles perceberam que ao criar um aplicativo na Azure App Services e Azure Functions, o software poderia ser erroneamente configurado para permitir o acesso de usuários ao app.
Em seguida, os analistas descobriram um programa chamado “Bing Trivia”, que estava mal configurado e permitia que qualquer pessoa logasse e acessasse o Sistema de Gerenciamento de Conteúdo do aplicativo. Contudo, não demorou para a equipe notar que o Bing.com estava diretamente ligado ao app. Ou seja, era possível entrar no buscador da Microsoft e modificá-lo.
Como teste, eles tentaram com sucesso alterar o resultado da pesquisa sobre “Melhores trilhas sonoras”. Os profissionais mudaram o primeiro título a aparecer na lista, desde seu nome a sua imagem de representação. O time da Wiz Research conseguiu adicionar até mesmo um link e um texto genérico.
Ataque XSS no Bing também era possível
Os analistas decidiram tentar injetar um payload através da mesma brecha que encontraram no aplicativo “Bing Trivia”. Eles logo perceberam que conseguiam executar um ataque XSS (Cross-Site Scripting), que colocaria um código malicioso no Bing.com, o transformando em uma armadilha para os usuários.
O teste da equipe do Wiz Research provou que era possível comprometer a segurança do Microsoft 365 assim que um usuário visse o carrossel na página de resultados do buscador. Isso daria para os cibercriminosos total acesso a informações pessoais como e-mail, mensagens do Teams e arquivos do OneDrive.
Após terem certeza de suas descobertas, os profissionais compartilharam os dados com a Microsoft.
A companhia de Redmond afirmou que a falha afetou apenas uma pequena parcela de apps internos, mas que as correções ocorreram imediatamente. Ela também informou que introduziu melhorias de segurança para prevenir que erros de configuração no Microsoft Azure se tornem problemas no futuro.
Por fim, a empresa disse no comunicado divulgado na quarta-feira (29), que “esse tipo de funcionalidade foi desabilitada em 99% dos aplicativos para os consumidores”.
Com informações: Bleeping Computer.
Bing teve falha que permitia mudar os resultados da busca e ver dados de usuários do Microsoft 365
You must be logged in to post a comment.