Der Sicherheitsanbieter Wiz Research hat eine Schwachstelle in Azure Active Directory (AAD) entdeckt, die es Unbefugten erlaubt, Ergebnisse von Microsofts Suchmaschine Bing zu manipulieren. Der Angriffsvektor basiert auf einer weit verbreiteten AAD-Fehlkonfiguration, durch die falsch konfigurierte Anwendungen unberechtigten Zugriffen ausgesetzt werden. Inzwischen wurde das Loch durch Microsoft gestopft.
Die Forscher fanden nach eigenen Angaben mehrere interne Apps von Microsoft, die Anfällig für diesen Angriff waren. Darunter war auch ein Content Management System für die Suchmaschine Bing. „Auf diese Weise konnten sie die Funktionen von Bing.com übernehmen, Suchergebnisse ändern und möglicherweise den Diebstahl von Office 365-Anmeldedaten von Millionen von Bing-Nutzern ermöglichen. Diese Zugangsdaten gewährten wiederum Zugriff auf private E-Mails und Dokumente von Nutzern“, teilte Wiz Research mit.
Das Unternehmen weist darauf hin, dass für den „#BingBang“ genannte Angriff keine einzige Zeile Code benötigt wird. Microsoft sei unmittelbar nach Entdeckung des Fehlers informiert worden. Der Softwarekonzern habe den Fehler nicht nur schnell behoben, sondern auch Änderungen eingeführt, um künftige Risiken für Kunden zu minimieren.
Suchergebnisse von Bing konnten die Forscher über die falsch konfigurierte CMS-App in Echtzeit verändern. Zur Suche nach der besten Filmmusik ersetzten die Forscher das erste Ergebnis „Dune (2021)“ durch die eigene Lieblingsfilmmusik zum Film Hackers aus dem Jahr 1985.
In einem zweiten Schritt versuchten die Forscher, die Anfälligkeit für Cross-Site-Scripting gegen Office-365-Konten einzusetzen. Dabei stellten sie fest, dass es möglich war, die Office-365-Token jeglicher Bing-Nutzer zu kompromittieren. Da Bing die Möglichkeit biete, auch die Office-365-Daten von Nutzern zu durchsuchen, kommuniziere Bing mit Office 365 im Namen des angemeldeten Benutzers. Mit einer selbst entwickelten Cross-Site-Scripting-Malware sei es ihnen schließlich gelungen, Zugangs-Token für Office 365 zu stehlen. Mit einem solche Token erhalte ein Angreifer unter Umständen Zugang zu E-Mails, Teams-Nachrichten oder auch SharePoint-Dokumenten und OneDrive-Dateien.
Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Betroffen sind…
Betroffen sind alle unterstützten Windows-Versionen. Der März-Patchday beseitigt sieben Zero-Day-Lücken und sechs als kritisch eingestufte…
Der neue Patch ergänzt eine Fehlerkorrektur aus Januar. Er soll einen Sandbox-Escape in Safari unter…
Die Gruppe greift neuerdings auch Ziele in Europa an. Ziel der Angriffe sind Betriebsdaten, Forschungsprojekte…
Mindestens zwei Anfälligkeiten lassen sich aus der Ferne ausnutzen. Betroffen sind Chrome für Windows, macOS…
Sind Sie es leid, dass langsame, komplizierte PDF-Editoren Ihre Zeit verschwenden? Damit sind Sie nicht…