Was du wissen musst
- Wiz Research entdeckte ein Problem in Microsoft Azure, das Bing und Millionen von Microsoft-Konten angreifbar machte.
- White-Hat-Hacker konnten Bing-Suchergebnisse ändern und nachweisen, dass es möglich war, einen Angriff über die Suchmaschine zu teilen.
- Die Schwachstelle wurde Microsoft gemeldet und innerhalb einer Woche nach dem Start des neuen Bing powered by ChatGPT in der Vorschau behoben.
Anfang dieses Jahres wurde eine Schwachstelle entdeckt, die Millionen von Microsoft 365-Konten gefährdete. Sicherheitsforscher bei Zauberer fand einen Fehler in Azure, der ausgenutzt werden könnte, um auf das CMS von Bing zuzugreifen und private Informationen aus Microsoft-Apps wie Teams, Outlook und der Office-Suite zu sammeln.
Hillai Ben-Sasson, ein Cloud-Sicherheitsforscher bei Wiz, erklärte, wie sie Bing-Suchergebnisse ändern und „Millionen von Office 365-Konten übernehmen“ konnten.
Unten ist der erste Tweet eines umfangreichen Threads über den Exploit:
Ich habe mich in ein @Bing-CMS gehackt, mit dem ich Suchergebnisse ändern und Millionen von @Office365-Konten übernehmen konnte. Wie habe ich das gemacht? Nun, alles begann mit einem einfachen Klick in @Azure… 👀Das ist die Geschichte von #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs29. März 2023
Wiz hat auch eine Blogeintrag über die Schwachstelle, sowie ein Video.
Wiz entdeckte einen Angriffsvektor in Azure Active Directory, der bei Ausnutzung unbefugten Zugriff auf falsch konfigurierte Anwendungen gewähren würde. Laut Wiz waren etwa 25 % der Multi-Tenant-Anwendungen anfällig. Das Forschungsunternehmen betonte, dass Fehlkonfigurationen häufig vorkommen.
Mehrere Anwendungen waren aufgrund der Schwachstelle gefährdet. Wiz war in der Lage, Bing-Suchergebnisse zu ändern und hochwirksame XSS-Angriffe auf Benutzer von Bing zu starten. Wenn Angriffe wie diese erfolgreich waren, könnte ein Angreifer Zugriff auf Outlook-E-Mails und SharePoint-Dokumente erhalten. OneDrive-Dateien, Outlook-Kalender und Teams-Nachrichten waren ebenfalls gefährdet, offengelegt zu werden.
„Ein potenzieller Angreifer könnte Bing-Suchergebnisse beeinflusst und Microsoft 365-E-Mails und Daten von Millionen von Menschen kompromittiert haben“, sagte Ami Luttwak, Chief Technology Officer von Wiz, zu Das Wall Street Journal. „Es hätte ein Nationalstaat sein können, der versucht, die öffentliche Meinung zu beeinflussen, oder ein finanziell motivierter Hacker.“
Wiz hat Microsoft auf die Bing-Schwachstelle aufmerksam gemacht und der Technologieriese hat sie schnell behoben. Das Forschungsunternehmen machte Microsoft am 25. Februar 2023 auf andere anfällige Anwendungen aufmerksam. Am 20. März 2023 bestätigte Microsoft gegenüber Wiz, dass alle damit verbundenen Probleme behoben wurden.
In gewisser Weise war der Zeitpunkt, zu dem der Exploit gemeldet und behoben wurde, ein Segen für Microsoft. Die Schwachstelle wurde am 31. Januar 2023 gemeldet und zwei Tage später, am 2. Februar 2023, behoben. Microsoft kündigte das neue Bing am 7. Februar 2023 an. Wenn die Schwachstelle beim Start der neuen Suchmaschine in der Vorschau nicht gepatcht wurde, steigt die Anzahl der Potenziale Opfer wäre viel höher gewesen.
Bing Chat half bei der Nutzung von Microsofts Suchmaschine für über 100 Millionen täglich aktive Benutzer.
Während die gemeldete Schwachstelle laut Wiz jahrelang hätte ausgenutzt werden können, stellte das Unternehmen klar, dass es keine Beweise dafür gibt, dass sie ausgenutzt wurde.