Une faille de sécurité affectant Microsoft Bing a été discovered. Celle-ci permettait de trafiquer les résultats de recherche et de siphonner les données des internautes, dont les mails échanges sur Outlook et les messages Teams…
Les chercheurs en sécurité informatique de Wiz ont discovered a faille affectant Bing, le moteur de recherche de Microsoft. La brèche a été provoquee par a mauvaise configuration of the application on the plate-forme cloud du groupe, Azure. En résumé, ce dysfonctionnement permettait à n’importe quel internaute de se connecter à une des apps affectées pour y apporter des changesments ou collecter des données.
D’après Microsoft, la faille n’a touché qu’un petit nombre d’applications. Seules les applications utilisant Azure Active Directory, le service de management des identités et des accès, étaient concernées par le dysfonctionnement, explique le groupe au Wall Street Journal.
“L’une de ces applications est un système de management de content (CMS) qui alimente Bing.com »explicit Wiz dans and detailed repeat.
Also : Microsoft reveals the secret of the Bing version of ChatGPT
Trafic of the result Bing
En exploitant la faille, les chercheurs de Wiz ont accédé à a plate-form used by the employees of Microsoft pour mettre en place des quiz sur Bing. Pour y accéder, il suffisait d’avoir un compte Microsoft.
Les experts new-yorkais, specialized in the security of the cloud, sont ensuite parvenus à modifier of the results of research which appears in Bing. For example, it changes on the premier element apparaissant in response to the request “meilleure bande-son”. La brèche a also permis de modifier la page d’accueil du moteur de recherche.
Vol de données
Surtout, the vulnérabilité permettait à un attached de s’emparer de données sensitives Concerned about the users of Microsoft Bing. Les chercheurs pouvaient en effet collector les e-mails on Outlook, les documents on OneDrive, les calendriers, les messages on teams and toutes les autres données potentialement stockées sur Microsoft 365, la plate-forme cloud de l’éditeur. Toutes ces données may be consulted par for a potentially attached amount. C’est évidemment très preoccupant, d’autant que « de nombreuses organizations utilisent Office 365 pour stocker leuurs données professionnelles les plus sensitives »souligne Wiz.
Rien n’indique qu’un hacker a exploité la brèche, rassure Wiz. Néanmoins, il reste théoriquement possible que la faille ait été exploitée par des attaquants par le passé, sans laisser la moindre trace. Les chercheurs révèlent que 1 000 other sites Web sur le cloud de Microsoft souffraient du même dysfonctionnement. La additional des pages appartiennet à des clients Azure, mais Wiz a « trouvé plusieurs autres internal applications de Microsoft avec des erreurs de configuration similaires ».
I hacked into a @bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… ?
This is the story of #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) March 29, 2023
Alerté par Wiz, qui a touché une prime de 40 000 dollars pour sa discovered, Microsoft a corrigé la faille le 2 February 2023, quelques jours avant l’advertisement du nouveau Bing dopé avec l’artificielle intelligence de ChatGPT. La firme a « Correct the vulnerable applications and introduce the modifications » For improved security, specifically Hillai Ben-Sasson, who searched Wiz, in a thread published on Twitter.
WSJ
