تغییر نتایج جستوجو و دسترسی به اطلاعات میلیونها کاربر؛ مایکروسافت بینگ هک شد
اوایل سال جاری میلادی آسیبپذیری جدیدی به نام «بینگبنگ» کشف شد که میلیونها حساب کاربری سرویس مایکروسافت ۳۶۵ را به خطر میانداخت. مایکروسافت ۳۶۵ (آفیس ۳۶۵ سابق) سرویسی بزرگ شامل انواع ابزارها است که بیشتر به درد سازمانها میخورد.
پژوهشگران امنیتی گفتند سرویس ابری آژور نقصی امنیتی دارد که ازطریق آن میتوان به CMS (سیستم مدیریت محتوا) موتور جستوجوی بینگ دسترسی پیدا کرد و سراغ جمعآوری اطلاعات محرمانهی اپلیکیشنهای مایکروسافت نظیر تیمز، اوتلوک و آفیس رفت.
هیلای بنساسن، یکی از پژوهشگران امنیتی شرکت Wiz، در توییتی جدید توضیح داده که او و اعضای تیمش چگونه نتایج جستوجوی بینگ را دستکاری کرده و کنترل «میلیونها حساب آفیس ۳۶۵» را در اختیار گرفتهاند.
بر اساس گزارش ویندوز سنترال، پژوهشگران شرکت Wiz متوجه وجود یک بردار حمله (اتکوکتور) در Azure Active Directory شدند که هکرها از لحاظ تئوری میتوانستند با اکسپلویتکردن آن، به اپلیکیشنهای مایکروسافت دسترسی پیدا کنند. تقریبا ۲۵ درصد از سرویسهای مبتنیبر معماری اجارهی چندگانه (Multi-Tenancy) در برابر این نقص امنیتی، آسیبپذیر بودند. در معماری اجارهی چندگانه چندین نمونه از اپلیکیشنی مشخص روی یک سرور اجرا میشوند تا بتوان از طریق آن سرور به چندین مستأجر (Tenant) خدمتدهی کرد.
آسیبپذیری بینگبنگ باعث میشد شماری از اپلیکیشنهای مایکروسافت در معرض خطر حملهی هکری باشند. پژوهشگران شرکت Wiz موفق شدند نتایج جستوجوی بینگ را اصلاح کنند و سراغ حملات XSS به کاربران بینگ بروند. اگر حملات اینچنینی موفقیتآمیز باشند، هکر از لحاظ تئوری میتواند به ایمیلهای اوتلوک و اسناد شیرپوینت دسترسی پیدا کند. فایلهای واندرایو، رویدادهای تقویم اوتلوک و پیامهای سرویس تیمز نیز ممکن است به دست هکرها بیفتند.
مدیر ارشد فناوری شرکت Wiz در گفتوگو با نشریهی والاستریت ژورنال اعلام کرد: «هکر احتمالی میتوانست روی نتایج جستوجوی بینگ اثر بگذارد و ایمیلهای مایکروسافت ۳۶۵ و دادههای میلیونها نفر را به خطر بیندازد.»
پژوهشگران Wiz به مایکروسافت خبر دادند و این شرکت آسیبپذیری بینگ را سریعاً برطرف کرد. این شرکت تحقیقاتی حدوداً یک ماه پیش جزئیات آسیبپذیری دیگری را در اختیار مایکروسافت قرار داد. ردموندیها در تاریخ ۲۰ مارس ۲۰۲۳ (۱ فروردین ۱۴۰۱) به Wiz خبر دادند که تمامی مشکلات رفع شده است.
نسخهی جدید بینگ که از هوش مصنوعی استفاده میکند، تنها چند روز پس از یکی از این آسیبپذیریهای مهم رونمایی شد. اگر آسیبپذیری رفع نمیشد، ممکن بود تعداد زیادی از کاربرانی که بهدلیل قابلیتهای جدید بینگ به سمت این موتور جستوجو هجوم برده بودند در معرض خطر قرار بگیرند. چتبات بینگ به این موتور جستوجو کمک کرد که برای اولین بار به بیش از ۱۰۰ میلیون کاربر فعال روزانه دست پیدا کند.
آسیبپذیری بینگبنگ سالها در موتور جستوجوی مایکروسافت وجود داشت، با اینحال آنطور که پژوهشگران میگویند، هیچ مدرکی وجود ندارد که نشان دهد هکرها از این آسیبپذیری سوءاستفاده کرده باشند.
نظرات