O que você precisa saber
- A Wiz Research descobriu um problema no Microsoft Azure que deixou o Bing e milhões de contas da Microsoft vulneráveis.
- Os hackers de chapéu branco conseguiram alterar os resultados de pesquisa do Bing e provar que era possível compartilhar um ataque por meio do mecanismo de pesquisa.
- A vulnerabilidade foi relatada à Microsoft e corrigida em uma semana após o lançamento do novo Bing com tecnologia ChatGPT em pré-lançamento.
No início deste ano, foi descoberta uma vulnerabilidade que colocava milhões de contas do Microsoft 365 em risco. Pesquisadores de segurança em Feiticeiro encontrou uma falha no Azure que poderia ser explorada para acessar o CMS do Bing e coletar informações privadas de aplicativos da Microsoft, como Teams, Outlook e o pacote Office.
Hillai Ben-Sasson, pesquisadora de segurança em nuvem da Wiz, explicou como eles conseguiram alterar os resultados de pesquisa do Bing e “assumir o controle de milhões de contas do Office 365”.
Abaixo está o primeiro tweet de um extenso tópico sobre o exploit:
Invadi um CMS do @Bing que me permitiu alterar os resultados da pesquisa e controlar milhões de contas do @Office365. Como fiz isso? Bem, tudo começou com um simples clique em @Azure… Esta é a história do #BingBang pic.twitter.com/9pydWvHhJs29 de março de 2023
Wiz também tem um postagem no blog sobre a vulnerabilidade, bem como um vídeo.
Wiz descobriu um vetor de ataque no Azure Active Directory que, se explorado, concederia acesso não autorizado a aplicativos mal configurados. Cerca de 25% dos aplicativos multilocatários eram vulneráveis, de acordo com Wiz. A empresa de pesquisa destacou que configurações incorretas são comuns.
Vários aplicativos estavam em risco devido à vulnerabilidade. O Wiz conseguiu modificar os resultados de pesquisa do Bing e lançar ataques XSS de alto impacto nos usuários do Bing. Se ataques como esses forem bem-sucedidos, um agente de ameaça pode obter acesso a emails do Outlook e documentos do SharePoint. Arquivos do OneDrive, calendários do Outlook e mensagens do Teams também corriam o risco de serem expostos.
“Um invasor em potencial pode ter influenciado os resultados de pesquisa do Bing e comprometido os e-mails e dados do Microsoft 365 de milhões de pessoas”, disse Ami Luttwak, diretor de tecnologia da Wiz, para Jornal de Wall Street. “Pode ter sido um estado-nação tentando influenciar a opinião pública ou um hacker motivado financeiramente.”
Wiz alertou a Microsoft sobre a vulnerabilidade do Bing e a gigante da tecnologia a corrigiu rapidamente. A empresa de pesquisa informou a Microsoft sobre outros aplicativos vulneráveis em 25 de fevereiro de 2023. Em 20 de março de 2023, a Microsoft confirmou a Wiz que todos os problemas relacionados foram corrigidos.
De certa forma, o momento em que a exploração foi relatada e corrigida foi uma bênção para a Microsoft. A vulnerabilidade foi relatada em 31 de janeiro de 2023 e corrigida dois dias depois, em 2 de fevereiro de 2023. A Microsoft anunciou o novo Bing em 7 de fevereiro de 2023. Se a vulnerabilidade não foi corrigida quando o novo mecanismo de pesquisa foi lançado na visualização, o número de potenciais vítimas teria sido muito maior.
O Bing Chat ajudou o uso do mecanismo de busca da Microsoft a mais de 100 milhões de usuários ativos diariamente.
Embora a vulnerabilidade relatada possa ter sido explorada por anos, de acordo com Wiz, a empresa esclareceu que não havia evidências de que ela havia sido explorada.