Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Уязвимость «BingBang» позволяет изменять результаты поисковой выдачи Bing и даже захватывать учётные записи пользователей (http://txgate.io:443/showthread.php?t=10296)

Artifact 03-10-2025 05:31 AM

Никакой ИИ уже не поможет Microsoft опередить Google в сфере интернет-поиска.
Исследователи из компании Wiz обнаружили способ , позволяющий манипулировать поисковой системой Bing и захватывать учетную запись пользователей. Уязвимость получила название «BingBang», а предоставленное исследование сосредоточено на нескольких приложениях Microsoft, причем все они связаны с новым типом атак, нацеленных на Azure Active Directory.
https://www.securitylab.ru/upload/me...afi6yqov3r.png
Azure Active Directory — это служба единого входа и многофакторной аутентификации, используемая множеством организаций по всему миру. К сожалению, неправильная настройка Azure может привести к ряду потенциально серьезных проблем. По словам Wiz, не менее 35% просканированных приложений оказались уязвимыми для обхода аутентификации Azure.
Возможно, наиболее ярким примером этой конкретной атаки является то, как открытый интерфейс администратора, привязанный к Bing, который позволял любому пользователю получить к нему доступ. Исследователи смогли не только изменить возвращаемые результаты для таких запросов, как «Лучший саундтрек», но и пойти немного дальше.
https://www.securitylab.ru/upload/me...1yn32qmoyn.png
Тот же доступ также позволил исследователям провести атаку методом «межсайтовый скриптинг» (XSS) и скомпрометировать учётные данные абсолютно любого пользователя Bing, который использует Microsoft Office365. Оттуда специалисты смогли получить доступ к:<ul><li>личным данным</li>
</ul><ul><li>электронным письмам Outlook</li>
</ul><ul><li>файлам SharePoint</li>
</ul><ul><li>сообщениям сервиса Teams</li>
</ul>Wiz отмечает, что Bing является 27-м по посещаемости веб-сайтом в мире, так что это явно большой целевой пул для потенциальных атак. Не говоря уж о том, что Bing стал не единственным сервисом, уязвимым к «BingBang». Под удар также попали: Mag News, MSN, PoliCheck, Power Automate Blog и т.д.
Потенциал для вредоносных действий здесь довольно широк. Скомпрометированные сервисы могут отправлять внутренние уведомления разработчикам Microsoft или рассылать электронные письма сразу большому количеству получателей. К счастью, Microsoft была оперативно уведомлена об этих проблемах и уже устранила уязвимость. Компания также добавила дополнительные авторизационные проверки, а также подтвердила, что реальные злоумышленники не успели воспользоваться описанной уязвимостью.


All times are GMT. The time now is 06:03 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.