Güvenlik Araştırmacıları, Bing Arama Sonuçlarını Hacklemeyi Başardı

**KoJiRo** · 03 Nisan 2023, 11:55

Ocak ayında bir güvenlik araştırmacısı, yanlış yapılandırılmış bir Microsoft online servisini kullanarak Bing arama sonuçlarını tamamen değiştirebilecek, daha sonra “BingBang” olarak adlandırdıkları bir güvenlik açığı tespit etti. Ayrıca ilgili zafiyet kullanıcıların oturumlarına Office 365 hesaplarını çalmaya yarayan bazı XSS saldırıları da yapılabilmesine imkan tanıdı.

Wiz Research tarafından yürütülen çalışmada, araştırmacılar Azure App Services ve Azure Functions servislerinde farklı bir yapılandırma yer aldığını keşfetti. Bunlar üzerinden bir “app” oluşturduğunuzda herhangi bir Microsoft kullanıcısının da bu uygulamalarda oturum açmasına izin verecek şekilde yapılandırılabiliyordu. Geliştiriciler bu izinleri yanlış veya biraz daha gevşek şekilde bıraktığı takdirde istenmeyen sonuçların doğması söz konusu hale geliyordu.

Analistler araştırmasına devam ederken, bütün Microsoft kullanıcılarının oturum açabildiği “Bing Trivia” adında bir içerik yönetim sistemi (CMS) uygulaması buldu. Keşfettikleri uygulamanın doğrudan “Bing.com”a bağlı olduğunu gördüklerinde, arama sonuçlarını istedikleri gibi manipüle edip edemeyeceklerini denemek istediler ve başarılı oldular. Aşağıdaki videodan bütün süreci izleyebilirsiniz.

Daha sonra araştırmacılar işi daha farklı bir seviyeye taşıyıp, Bing arama sonuçlarına herhangi bir payload (zararlı kod) enjekte edip edemeyeceklerini denediler. Aynı içerik yönetim arayüzünü kullanarak Bing.com’da bir XSS (Cross-Site-Scripting) saldırısı gerçekleştirebileceklerini gördüler. Yaptıkları deneyde bu şekilde kendi Office 365 hesaplarının tokenlarını çalmayı ve tam yetkiyle erişim sağlamayı başardılar.

Microsoft yanlış yapılandırmanın yalnızca az sayıda uygulama için geçerli olduğunu ve hemen düzelttiğini söyleyerek sorunu küçümsese de, etki bakımından Bing.com’un yönetim panelinin ele geçirilmesinden ve arama sonuçlarının istendiği gibi değiştirilebilmesi göz önüne alınınca bu oldukça korkunç gözüküyor. Microsoft ayrıca açıkları kapattıktan sonra kendilerine bildirdikleri için Wiz Research ekibine teşekkür edip 40.000 dolarlık bir ödül verdi.

Technopat

03 Nisan 2023, 11:55	#1
Çevrimiçi KoJiRo	Güvenlik Araştırmacıları, Bing Arama Sonuçlarını Hacklemeyi Başardı Güvenlik Araştırmacıları, Bing Arama Sonuçlarını Hacklemeyi Başardı Www.TrendForum.Net Ocak ayında bir güvenlik araştırmacısı, yanlış yapılandırılmış bir Microsoft online servisini kullanarak Bing arama sonuçlarını tamamen değiştirebilecek, daha sonra “BingBang” olarak adlandırdıkları bir güvenlik açığı tespit etti. Ayrıca ilgili zafiyet kullanıcıların oturumlarına Office 365 hesaplarını çalmaya yarayan bazı XSS saldırıları da yapılabilmesine imkan tanıdı. Wiz Research tarafından yürütülen çalışmada, araştırmacılar Azure App Services ve Azure Functions servislerinde farklı bir yapılandırma yer aldığını keşfetti. Bunlar üzerinden bir “app” oluşturduğunuzda herhangi bir Microsoft kullanıcısının da bu uygulamalarda oturum açmasına izin verecek şekilde yapılandırılabiliyordu. Geliştiriciler bu izinleri yanlış veya biraz daha gevşek şekilde bıraktığı takdirde istenmeyen sonuçların doğması söz konusu hale geliyordu. Analistler araştırmasına devam ederken, bütün Microsoft kullanıcılarının oturum açabildiği “Bing Trivia” adında bir içerik yönetim sistemi (CMS) uygulaması buldu. Keşfettikleri uygulamanın doğrudan “Bing.com”a bağlı olduğunu gördüklerinde, arama sonuçlarını istedikleri gibi manipüle edip edemeyeceklerini denemek istediler ve başarılı oldular. Aşağıdaki videodan bütün süreci izleyebilirsiniz. Daha sonra araştırmacılar işi daha farklı bir seviyeye taşıyıp, Bing arama sonuçlarına herhangi bir payload (zararlı kod) enjekte edip edemeyeceklerini denediler. Aynı içerik yönetim arayüzünü kullanarak Bing.com’da bir XSS (Cross-Site-Scripting) saldırısı gerçekleştirebileceklerini gördüler. Yaptıkları deneyde bu şekilde kendi Office 365 hesaplarının tokenlarını çalmayı ve tam yetkiyle erişim sağlamayı başardılar. Microsoft yanlış yapılandırmanın yalnızca az sayıda uygulama için geçerli olduğunu ve hemen düzelttiğini söyleyerek sorunu küçümsese de, etki bakımından Bing.com’un yönetim panelinin ele geçirilmesinden ve arama sonuçlarının istendiği gibi değiştirilebilmesi göz önüne alınınca bu oldukça korkunç gözüküyor. Microsoft ayrıca açıkları kapattıktan sonra kendilerine bildirdikleri için Wiz Research ekibine teşekkür edip 40.000 dolarlık bir ödül verdi. Technopat __________________ İmzalardaki bağlantıları veya görselleri görüntülemek için gönderi sayınızın 10 veya daha fazla olması gerekir.

Benzer Konular
Konu	Konuyu Başlatan	Forum	Yanıtlar	Son Mesaj
Görüntülü arama	DeepSilence	Trend Sözlük	10	23 Mayıs 2023 02:11
Avusturya arama kurtarma ekibi	Leila	Kafamıza Göre	3	21 Şubat 2023 07:58
ÖSYM 2022 YKS sonuçlarını açıkladı	Beatrice	Eğitim Haberleri	1	18 Temmuz 2022 15:19
LeBron James Bir İlki Başardı: Milyar Dolarlık Servet!	KoJiRo	Basketbol	0	03 Haziran 2022 20:19
Arama Motoru	DeepSilence	Trend Ansiklopedi	0	01 Haziran 2022 13:29

Şu anda bu konuyu görüntüleyen etkin kullanıcılar: 1 (0 üye ve 1 konuk)