قامت Microsoft بإصلاح ثغرة خطيرة في Bing تسمح للمستخدمين بتعديل نتائج البحث والوصول إلى المعلومات الخاصة لمستخدمي محرك البحث الآخرين الموجودة في تطبيقات مثل Teams و Outlook و Office 365.
في كانون الثاني (يناير) الماضي ، اكتشف باحثو Wiz خطأً في تكوين Azure قد يسمح لمستخدمي نظام الحوسبة السحابية من Microsoft بالوصول إلى التطبيقات دون إذن ، فضلاً عن السماح باختراق Bing.
اكتشف الباحثون ثغرة أمنية في خدمة إدارة الوصول والهوية في Azure Active Directory. يتمتع جميع المستخدمين في (Azure) بإمكانية الوصول إلى التطبيقات التي تستخدم ما يسمى أذونات النظام الأساسي متعدد الإيجارات. يتطلب هذا من المطورين التحقق من المستخدمين الذين يمكنهم الوصول إلى تطبيقاتهم.
نظرًا لأن هذه المسؤولية ليست واضحة دائمًا ، فإن التهيئة الخاطئة شائعة ، بل ويزعم Waze أن 25٪ من التطبيقات متعددة المستأجرين التي قاموا باستطلاعها تفتقر جميعها إلى التحقق الصحيح من الصحة.
تفاهات Bing هي أحد هذه التطبيقات. اكتشف الباحثون نظام إدارة المحتوى الذي يسمح لهم بتسجيل الدخول إلى التطبيق باستخدام حساب Azure الخاص بهم والتحكم في نتائج البحث مباشرة في محرك بحث Bing.com.
يحذر Waze من أن أي شخص يزور صفحة Bing Trivia ربما يكون قد تلاعب بنتائج بحث Bing لإطلاق حملات معلومات مضللة وتصيد احتيالي.
كشفت الأبحاث في قسم العمل في Bing أيضًا أنه يمكن استخدام هذا الاستغلال للوصول إلى بيانات المستخدمين الآخرين لخدمة تطبيق Office 365 لسطح المكتب ، وكشف البريد الإلكتروني والتقويمات ورسائل Teams ومستندات SharePoint وملفات OneDrive.
أثبت Waze نجاحه في قراءة رسائل البريد الإلكتروني من البريد الوارد للضحايا الظاهريين باستخدام هذه الثغرة الأمنية. تم العثور على أكثر من 1000 تطبيق وموقع على النظام الأساسي السحابي لـ Microsoft ، بما في ذلك Mag News و Contact Center و PoliCheck و Power Automate Blog و Cosmos ، مع مآثر مماثلة في التهيئة الخاطئة.
قال آمي لوتواك ، كبير مسؤولي التكنولوجيا في Waze لصحيفة وول ستريت جورنال: وأضاف: "[المهاجمون المحتملون] قد يكونون دولًا تحاول التأثير على الرأي العام ، أو قراصنة لدوافع مالية".
وفقًا لكبير مسؤولي التكنولوجيا في Waze ، تم إخطار مركز الاستجابة الأمنية لشركة Microsoft بثغرة Bing في 31 يناير ، وقامت الشركة بإصلاحها في 2 فبراير.
حدد (Waze) لاحقًا التطبيقات الأخرى المعرضة للخطر في 25 فبراير وقال إن Microsoft أكدت أن جميع المشكلات المبلغ عنها تم إصلاحها في 20 مارس. تقول Microsoft أيضًا إنها أجرت تغييرات إضافية لتقليل مخاطر التهيئة الخاطئة في المستقبل.
في الآونة الأخيرة ، شهد محرك (Bing) زيادة في شعبيته ، حيث تجاوز 100 مليون مستخدم نشط يوميًا في وقت سابق من هذا الشهر بعد إطلاق ميزة الدردشة القائمة على تقنية الذكاء الاصطناعي في 7 فبراير.
كان من الممكن أن يؤثر النمو الهائل لمحركات البحث على ملايين المستخدمين الذين يعانون من ثغرات أمنية خطيرة إذا لم يتم إصلاح المشكلة قبل أيام من إطلاق الميزة. حسب شركة (بنج).
في أكتوبر الماضي ، أدى خطأ تكوين مماثل في Azure إلى خرق بيانات BlueBleed مما أدى إلى كشف بيانات 150.000 شركة في 123 دولة.
قال Waze إنه لا يوجد دليل على استغلال الثغرة الأمنية قبل تطبيق التصحيح. ومع ذلك ، لا توفر سجلات Azure Active Directory دائمًا تفاصيل حول النشاط السابق. يدعي Waze أنه يمكن استغلال المشكلة لسنوات.
توصي Waze المؤسسات التي تستخدم تطبيقات Azure Active Directory بالتحقق من سجلات تطبيقاتها بحثًا عن عمليات تسجيل دخول مشبوهة قد تشير إلى وجود خرق أمني.
إرسال تعليق