Der Sicherheitsanbieter Wiz Research hat eine Schwachstelle in Azure Active Directory (AAD) entdeckt, die es Unbefugten erlaubt, Ergebnisse von Microsofts Suchmaschine Bing zu manipulieren. Der Angriffsvektor basiert auf einer weit verbreiteten AAD-Fehlkonfiguration, durch die falsch konfigurierte Anwendungen unberechtigten Zugriffen ausgesetzt werden. Inzwischen wurde das Loch durch Microsoft gestopft.
Die Forscher fanden nach eigenen Angaben mehrere interne Apps von Microsoft, die Anfällig für diesen Angriff waren. Darunter war auch ein Content Management System für die Suchmaschine Bing. „Auf diese Weise konnten sie die Funktionen von Bing.com übernehmen, Suchergebnisse ändern und möglicherweise den Diebstahl von Office 365-Anmeldedaten von Millionen von Bing-Nutzern ermöglichen. Diese Zugangsdaten gewährten wiederum Zugriff auf private E-Mails und Dokumente von Nutzern“, teilte Wiz Research mit.
Das Unternehmen weist darauf hin, dass für den „#BingBang“ genannte Angriff keine einzige Zeile Code benötigt wird. Microsoft sei unmittelbar nach Entdeckung des Fehlers informiert worden. Der Softwarekonzern habe den Fehler nicht nur schnell behoben, sondern auch Änderungen eingeführt, um künftige Risiken für Kunden zu minimieren.
Suchergebnisse von Bing konnten die Forscher über die falsch konfigurierte CMS-App in Echtzeit verändern. Zur Suche nach der besten Filmmusik ersetzten die Forscher das erste Ergebnis „Dune (2021)“ durch die eigene Lieblingsfilmmusik zum Film Hackers aus dem Jahr 1985.
In einem zweiten Schritt versuchten die Forscher, die Anfälligkeit für Cross-Site-Scripting gegen Office-365-Konten einzusetzen. Dabei stellten sie fest, dass es möglich war, die Office-365-Token jeglicher Bing-Nutzer zu kompromittieren. Da Bing die Möglichkeit biete, auch die Office-365-Daten von Nutzern zu durchsuchen, kommuniziere Bing mit Office 365 im Namen des angemeldeten Benutzers. Mit einer selbst entwickelten Cross-Site-Scripting-Malware sei es ihnen schließlich gelungen, Zugangs-Token für Office 365 zu stehlen. Mit einem solche Token erhalte ein Angreifer unter Umständen Zugang zu E-Mails, Teams-Nachrichten oder auch SharePoint-Dokumenten und OneDrive-Dateien.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…