Un difetto nella configurazione di Azure ha consentito a qualsiasi utente di connettersi al CMS attraverso il quale Microsoft gestisce Bing. Potrebbero quindi modificare i risultati della ricerca e persino inserire un payload per penetrare negli account utente.
I ricercatori lo chiamano una perdita bing bang. È una configurazione errata di Azure Active Directory. Se selezioni l’opzione sbagliata nel back-end per consentire agli utenti di accedere alla propria directory, chiunque abbia un account Azure avrà accesso. Questo si è dimostrato il caso, ad esempio, dell’app Bing Trivia, che Microsoft utilizza per gestire i risultati delle ricerche sui quiz.
Si è rivelato possibile manipolare i risultati della ricerca nel carosello nella parte superiore dello schermo. I ricercatori potrebbero anche posizionare lì un payload per intercettare i token degli utenti che hanno effettuato l’accesso. Qualsiasi utente che fa clic su di esso può consentire agli aggressori di accedere a tutte le applicazioni Microsoft, come la posta elettronica di Outlook e Sharepoint.
I ricercatori hanno notificato a Microsoft il 31 gennaio. La fuga di notizie è stata chiusa il 2 febbraio. I ricercatori hanno quindi atteso che tutte le piattaforme Azure a cui qualsiasi utente potesse accedere avessero chiuso la falla prima di farlo. Informazioni su BingBang uscito.
You may also like
-
Intelligenza artificiale generativa e cybersecurity: quali rischi nel 2024
-
Elettrodomestici a portata di mano: controllare la tua casa con l’App del tuo smartphone
-
Battito cardiaco, come uno smartwatch può salvarti la vita
-
Honor 90: Il Nuovo Design Mozzafiato che Stupirà gli Appassionati di Smartphone
-
Sappiamo di più su come tenere il telefono acceso a letto con Pokémon Sleep