Абонирай се
Gamezone България
  • Начало
  • IT Новини
  • Игри
  • Хардуер
  • Контакт
  • Абонамент
No Result
View All Result
  • Начало
  • IT Новини
  • Игри
  • Хардуер
  • Контакт
  • Абонамент
No Result
View All Result
Gamezone България

Голям експлойт на Microsoft позволявал манипулация на резултатите от търсенето в Bing и получаване на достъп до акаунти в Outlook

Gamezone by Gamezone
March 30, 2023
in IT Новини
0
Home IT Новини
Share on FacebookShare on Twitter

По-рано тази година беше открита опасна уязвимост в търсачката Bing на Microsoft, която позволяваше на потребителите да променят резултатите от търсенето и да получават достъп до лична информация на други потребители на Bing от приложения като Teams, Outlook и Office 365. Още през януари изследователи по сигурността от Wiz откриха неправилна конфигурация в Azure – платформата за изчисления в облак на Microsoft, която компрометира Bing, позволявайки на всеки потребител на Azure да получи достъп до приложения без разрешение.

Уязвимостта беше открита в услугата за управление на идентичността и достъпа Azure Active Directory (AAD). Приложенията, използващи разрешенията на платформата са достъпни за всеки потребител на Azure, което налага разработчиците да потвърждават кои потребители могат да имат достъп до техните приложения. Тази отговорност невинаги е ясна, поради което грешните конфигурации са често срещано явление – Wiz твърди, че 25% от всички сканирани от тях многофункционални приложения не са имали правилна валидация.

Едно от тези приложения било Bing Trivia. Изследователите успяли да влязат в приложението, използвайки собствените си акаунти в Azure, където открили система за управление на съдържанието (CMS), която им позволявала да контролират резултатите от търсенето в реално време в Bing.com. Wiz подчертава, че всеки, който е бил на страницата на приложението Bing Trivia е можел потенциално да манипулира резултатите от търсенето в Bing, за да стартира дезинформационни или фишинг кампании.

Разследването на секцията Work на Bing също така разкри, че експлойтът можел да се използва за достъп до данните на други потребители в Office 365, разкривайки имейли от Outlook, календари, съобщения от Teams, документи от SharePoint и файлове от OneDrive. Wiz демонстрират, че успешно са използвали уязвимостта, за да прочетат имейли от симулирана пощенска кутия на жертва. Над 1000 приложения и уебсайтове в облака на Microsoft били открити с подобни експлойти с неправилна конфигурация, включително Mag News, Contact Center, PoliCheck, Power Automate Blog и Cosmos.

„Потенциален нападател би могъл да повлияе на резултатите от търсенето в Bing и да компрометира имейлите и данните на милиони хора в Microsoft 365. Това можеше да бъде държава, която се опитва да повлияе на общественото мнение, или финансово мотивиран хакер.“

казва Ами Лутвак, главен технологичен директор на Wiz, пред The Wall Street Journal

Експлойтът беше поправен на 2 февруари, само няколко дни преди Microsoft да пусне функцията за чат в Bing, задвижвана от изкуствен интелект

Уязвимостта в Bing беше докладвана на Центъра за реагиране на сигурността на Microsoft на 31 януари. Според Лутвак Microsoft е отстранила проблема на 2 февруари. По-късно от Wiz са сигнализирали за други уязвими приложения на 25 февруари и заявиха, че Microsoft е потвърдила, че всички докладвани проблеми са отстранени на 20 март. Microsoft също така заяви, че компанията е направила допълнителни промени, за да намали риска от бъдещи неправилни конфигурации.

В последно време Bing се радва на рязко нарастване на популярността, като по-рано този месец надхвърли границата от 100 млн. активни потребители дневно, след като на 7 февруари стартира функцията за чат в Bing, задвижвана от изкуствен интелект. Ако проблемът не беше поправен няколко дни преди това, експлозивният растеж на Bing можеше да разпространи опасния и лесно достъпен експлойт за сигурност сред милиони потребители – според Similarweb, Bing е 30-ият най-посещаван уебсайт в света.

През октомври миналата година подобно неправилно конфигурирано крайно устройство на Microsoft Azure доведе до нарушаване на сигурността на данните BlueBleed, което разкри данните на 150 000 компании в 123 държави.

Wiz заявиха, че няма доказателства уязвимостта да е била използвана преди да бъде поправена. Въпреки това дневниците на Azure Active Directory невинаги предоставят подробности относно предишни дейности, а Wiz твърдят, че проблемът може да е бил експлоатиран в продължение на години. Wiz препоръчва на организациите с приложения в Azure Active Directory да проверяват дневниците на приложенията си за подозрителни влизания, които биха показали пробив в сигурността.

Станете част от общността на Kaldata.com във Viber

Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Share408Tweet255Pin92Scan
Previous Post

Мачкане на пъпеши, удряне на дърва и ръчни вакуум помпи – как е създаден звукът в God Of War Ragnarok

Next Post

Midjourney спира безплатния достъп до ИИ генераторът на изображения, позовавайки се на злоупотреби

Related Posts

Според Бил Гейтс, изкуственият интелект може да убие сегашните виртуални асистенти

Според Бил Гейтс, изкуственият интелект може да убие сегашните виртуални асистенти

May 27, 2023
Impulse и Relativity Space стартират първата търговска мисия до Марс през 2026 г.

Impulse и Relativity Space стартират първата търговска мисия до Марс през 2026 г.

May 27, 2023
JPMorgan Chase регистрира марката IndexGPT

JPMorgan Chase регистрира марката IndexGPT

May 27, 2023
Уникален плат може да помогне на роботите да усещат човешкото докосване

Уникален плат може да помогне на роботите да усещат човешкото докосване

May 27, 2023
Разработен е поглъщаем дозиметър за мониторинг на лъчевата терапия

Разработен е поглъщаем дозиметър за мониторинг на лъчевата терапия

May 27, 2023
Google въвежда съвсем нови възможности за страничния панел в Chrome

Google въвежда съвсем нови възможности за страничния панел в Chrome

May 27, 2023
Next Post
Midjourney спира безплатния достъп до ИИ генераторът на изображения, позовавайки се на злоупотреби

Midjourney спира безплатния достъп до ИИ генераторът на изображения, позовавайки се на злоупотреби

Законът RESTRICT: 20 години затвор за използване на VPN за достъп до забранени приложения в САЩ

Законът RESTRICT: 20 години затвор за използване на VPN за достъп до забранени приложения в САЩ

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

  • Trending
  • Comments
  • Latest
Камъкът на Битието: когато Земята и Луната са били едно цяло

Камъкът на Битието: когато Земята и Луната са били едно цяло

July 5, 2019
be quiet! на Computex 2018: нов корпус и Ryzen Threadripper охладител

be quiet! на Computex 2018: нов корпус и Ryzen Threadripper охладител

June 8, 2018
Predator Thronos Air – новият геймърски „трон“ на Acer

Predator Thronos Air – новият геймърски „трон“ на Acer

September 4, 2019
Обявиха Game of Thrones: Beyond the Wall – стратегическо RPG за Android и iOS

Обявиха Game of Thrones: Beyond the Wall – стратегическо RPG за Android и iOS

June 27, 2019
Huawei MatePad 5G: подобрена версия на таблета MatePad 10.4 с Kirin 820 и поддръжка на 5G

Huawei MatePad 5G: подобрена версия на таблета MatePad 10.4 с Kirin 820 и поддръжка на 5G

September 18, 2020
Според Бил Гейтс, изкуственият интелект може да убие сегашните виртуални асистенти

Според Бил Гейтс, изкуственият интелект може да убие сегашните виртуални асистенти

May 27, 2023
Impulse и Relativity Space стартират първата търговска мисия до Марс през 2026 г.

Impulse и Relativity Space стартират първата търговска мисия до Марс през 2026 г.

May 27, 2023
JPMorgan Chase регистрира марката IndexGPT

JPMorgan Chase регистрира марката IndexGPT

May 27, 2023
Nintendo спря да плаща за гаранционните ремонти на конзолите си в Русия

Nintendo спря да плаща за гаранционните ремонти на конзолите си в Русия

May 27, 2023
Уникален плат може да помогне на роботите да усещат човешкото докосване

Уникален плат може да помогне на роботите да усещат човешкото докосване

May 27, 2023

Популярни статии

    За Нас

    Добре дошли в Gamezone България! Тук ще намерите информация за новите компютърни игри. Ще ви запознаем с техните разработчици, с мнения на геймъри, както и с пикантни истории около създаването им.

    Популярни тагове

    Adata review Sponsored ssd XPG

    Скорошни новини

    Според Бил Гейтс, изкуственият интелект може да убие сегашните виртуални асистенти

    Според Бил Гейтс, изкуственият интелект може да убие сегашните виртуални асистенти

    May 27, 2023
    Impulse и Relativity Space стартират първата търговска мисия до Марс през 2026 г.

    Impulse и Relativity Space стартират първата търговска мисия до Марс през 2026 г.

    May 27, 2023
    • Контакт (Contact)

    © 2018 Gamezone - Гейминг новини и ревюта от Gamezone България.

    No Result
    View All Result
    • Начало
    • IT Новини
    • Игри
    • Хардуер
    • Контакт
    • Абонамент

    © 2018 Gamezone - Гейминг новини и ревюта от Gamezone България.

    Login to your account below

    Forgotten Password?

    Fill the forms bellow to register

    All fields are required. Log In

    Retrieve your password

    Please enter your username or email address to reset your password.

    Log In