Der Sicherheitsanbieter Wiz Research hat eine Schwachstelle in Azure Active Directory (AAD) entdeckt, die es Unbefugten erlaubt, Ergebnisse von Microsofts Suchmaschine Bing zu manipulieren. Der Angriffsvektor basiert auf einer weit verbreiteten AAD-Fehlkonfiguration, durch die falsch konfigurierte Anwendungen unberechtigten Zugriffen ausgesetzt werden. Inzwischen wurde das Loch durch Microsoft gestopft.
Die Forscher fanden nach eigenen Angaben mehrere interne Apps von Microsoft, die Anfällig für diesen Angriff waren. Darunter war auch ein Content Management System für die Suchmaschine Bing. „Auf diese Weise konnten sie die Funktionen von Bing.com übernehmen, Suchergebnisse ändern und möglicherweise den Diebstahl von Office 365-Anmeldedaten von Millionen von Bing-Nutzern ermöglichen. Diese Zugangsdaten gewährten wiederum Zugriff auf private E-Mails und Dokumente von Nutzern“, teilte Wiz Research mit.
Das Unternehmen weist darauf hin, dass für den „#BingBang“ genannte Angriff keine einzige Zeile Code benötigt wird. Microsoft sei unmittelbar nach Entdeckung des Fehlers informiert worden. Der Softwarekonzern habe den Fehler nicht nur schnell behoben, sondern auch Änderungen eingeführt, um künftige Risiken für Kunden zu minimieren.
Suchergebnisse von Bing konnten die Forscher über die falsch konfigurierte CMS-App in Echtzeit verändern. Zur Suche nach der besten Filmmusik ersetzten die Forscher das erste Ergebnis „Dune (2021)“ durch die eigene Lieblingsfilmmusik zum Film Hackers aus dem Jahr 1985.
In einem zweiten Schritt versuchten die Forscher, die Anfälligkeit für Cross-Site-Scripting gegen Office-365-Konten einzusetzen. Dabei stellten sie fest, dass es möglich war, die Office-365-Token jeglicher Bing-Nutzer zu kompromittieren. Da Bing die Möglichkeit biete, auch die Office-365-Daten von Nutzern zu durchsuchen, kommuniziere Bing mit Office 365 im Namen des angemeldeten Benutzers. Mit einer selbst entwickelten Cross-Site-Scripting-Malware sei es ihnen schließlich gelungen, Zugangs-Token für Office 365 zu stehlen. Mit einem solche Token erhalte ein Angreifer unter Umständen Zugang zu E-Mails, Teams-Nachrichten oder auch SharePoint-Dokumenten und OneDrive-Dateien.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.