Bing teve falha que permitia mudar os resultados da busca e ver dados de usuários do Microsoft 365
Erro de configuração foi descoberto em um app chamado "Bing Trivia"; além de alterar resultados da busca, era possível executar um ataque XSS e pegar dados de usuários
Devido uma falha na configuração de aplicações da Microsoft, qualquer pessoa podia acessar e modificar os resultados de buscas do Bing. “Podia”, pois o problema foi descoberto no dia 31 de janeiro de 2023, mas foi consertado pela empresa no dia 28 de março. Uma das provas do defeito foi a alteração na lista de “Melhores trilhas sonoras”, que trocou o filme Duna por Hackers: Piratas de Computador.
A descoberta foi feita pela equipe de analistas do Wiz Research, um grupo de profissionais que visa detectar ameaças à nuvem e construir mecanismos para protegê-la. Eles perceberam que ao criar um aplicativo na Azure App Services e Azure Functions, o software poderia ser erroneamente configurado para permitir o acesso de usuários ao próprio app.
Em seguida, os analistas descobriram um programa chamado “Bing Trivia”, que estava mal configurado e permitia que qualquer pessoa logasse e acessasse o Sistema de Gerenciamento de Conteúdo do aplicativo. Contudo, não demorou para a equipe notar que o Bing.com estava diretamente ligado ao app. Ou seja, era possível entrar no buscador da Microsoft e modificá-lo.
Como teste, eles tentaram com sucesso alterar o resultado da pesquisa sobre “Melhores trilhas sonoras”. Os profissionais mudaram o primeiro título a aparecer na lista, desde seu nome a sua imagem de representação. O time da Wiz Research conseguiu adicionar até mesmo um link e um texto genérico.
Ataque XSS no Bing também era possível
Os analistas decidiram tentar injetar um payload através da mesma brecha que encontraram no aplicativo “Bing Trivia”. Eles logo perceberam que conseguiam executar um ataque XSS (Cross-Site Scripting), que colocaria um código malicioso no Bing.com, o transformando em uma armadilha para os usuários.
O teste da equipe do Wiz Research provou que era possível comprometer a segurança do Microsoft 365 assim que um usuário visse o carrossel na página de resultados do buscador. Isso daria para os cibercriminosos total acesso a informações pessoais como e-mail, mensagens do Teams e arquivos do OneDrive.
Após terem certeza de suas descobertas, os profissionais compartilharam os dados com a Microsoft.
A companhia de Redmond afirmou que a falha afetou apenas uma pequena parcela de apps internos, mas que as correções ocorreram imediatamente. Ela também informou que introduziu melhorias de segurança para prevenir que erros de configuração no Microsoft Azure se tornem problemas no futuro.
Por fim, a empresa disse no comunicado divulgado na quarta-feira (29), que “esse tipo de funcionalidade foi desabilitada em 99% dos aplicativos para os consumidores”.
Com informações: Bleeping Computer.