Dieser Bing-Fehler ermöglicht es Hackern, Suchergebnisse zu ändern und Ihre Dateien zu stehlen

Eskere Guru

Ein Sicherheitsforscher war kürzlich in der Lage, die Top-Ergebnisse in der Microsoft- Suchmaschine Bing zu ändern und auf die privaten Dateien aller Benutzer zuzugreifen, wodurch möglicherweise Millionen von Benutzern gefährdet wurden – und alles, was dazu nötig war, war die Anmeldung bei einer ungesicherten Webseite.

Der Exploit wurde von der Forscherin Hillai Ben-Sasson in ihrem Team bei Wiz, einer Cloud-Sicherheitsfirma, entdeckt. Laut Ben-Sasson würde es einem Angreifer nicht nur ermöglichen, Bing-Suchergebnisse zu ändern, sondern ihm auch Zugriff auf die privaten Dateien und Daten von Millionen von Benutzern gewähren.

Die von der Forschungsgruppe als BingBang bezeichnete Schwachstelle konzentrierte sich auf Microsofts Azure Active Directory, das von Unternehmen zur Verwaltung von Benutzeridentitäten und dem Zugriff auf Apps verwendet wird. Wenn eine App falsch konfiguriert ist, kann sich leider jeder Azure-Benutzer weltweit ohne die richtigen Anmeldeinformationen anmelden.

Erschreckenderweise stellten die Forscher in einer technischen Analyse des Fehlers fest, dass bis zu 25 % aller von ihnen gescannten Mehrbenutzer-Apps anfällig waren – einschließlich einer Microsoft-App namens Bing Trivia.

Nachdem das Wiz-Team den Fehler ausgenutzt hatte, um sich bei der Bing Trivia-App anzumelden, fand es ein mit Bing.com verbundenes Content-Management-System (CMS), das die Live-Ergebnisse der Suchmaschine kontrollierte. Mit einem Hauch von Humor änderten sie dann einen der Einträge und änderten das Top-Ergebnis für den „besten Soundtrack“ von der Dune-Partitur zu dem aus dem Film Hackers von 1995.

Es ist jedoch nichts Lustiges daran, was dieser Fehler impliziert. Wie die Forscher erklärten, „könnte ein böswilliger Akteur, der auf der Bing Trivia-App-Seite landet, daher jeden Suchbegriff manipuliert und Fehlinformationskampagnen gestartet sowie andere Websites gephishing und imitiert haben“.

Stehlen privater Dateien und E-Mails

Ein Vergleich der Bing-Suchergebnisse vor und nach der Anwendung des BingBang-Exploits, der zeigt, wie die Liste der empfohlenen Film-Soundtracks geändert werden kann.

Darüber hinaus konnten die Forscher eine harmlose Cross-Site-Scripting-Nutzlast (XSS) in Bing hinzufügen, während sie angemeldet waren. Diese konnte wie erwartet ohne Störungen ausgeführt werden. Nachdem sie Microsoft das Problem gemeldet hatten, versuchten die Forscher, diese XSS-Nutzdaten zu ändern, um zu sehen, was möglich war.

Da Bing in Microsoft 365 integriert ist, konnte das Wiz-Team ein Skript erstellen, das möglicherweise die Zugriffstoken eines angemeldeten Benutzers stehlen und ihm Zugriff auf die Cloud-Daten dieses Benutzers gewähren könnte. Dazu können Outlook-E-Mails , Kalender, Team-Nachrichten, OneDrive-Dateien und mehr gehören.

Zusammengenommen bedeutet dies, dass ein Hacker die Macht haben könnte, Bing-Suchergebnisse auf eine bösartige Website umzuleiten und gleichzeitig private Daten von jedem Benutzer zu sammeln, der bei einem Microsoft 365-Konto angemeldet ist. Alles aus der Ausnutzung einer einfachen Login-Schwachstelle.

Glücklicherweise meldeten die Forscher den Fehler sofort Microsoft und er wurde kurz darauf gepatcht, was zu einer Prämie von 40.000 US-Dollar führte. Dennoch bleibt es ein alarmierendes Beispiel dafür, wie wenig Aufwand erforderlich sein kann, um private Daten von Millionen ahnungsloser Benutzer zu stehlen.