تغییر نتایج جست‌و‌جو و دسترسی به اطلاعات میلیون‌ها کاربر؛ مایکروسافت بینگ هک شد

اوایل سال جاری میلادی آسیب‌پذیری جدیدی به نام «بینگ‌بنگ» کشف شد که میلیون‌ها حساب کاربری سرویس مایکروسافت ۳۶۵ را به خطر می‌انداخت. مایکروسافت ۳۶۵ (آفیس ۳۶۵ سابق) سرویسی بزرگ شامل انواع ابزارها است که بیشتر به درد سازمان‌ها می‌خورد.

پژوهشگران امنیتی گفتند سرویس ابری آژور نقصی امنیتی دارد که ازطریق آن می‌توان به CMS (سیستم مدیریت محتوا) موتور جست‌و‌جوی بینگ دسترسی پیدا کرد و سراغ جمع‌آوری اطلاعات محرمانه‌ی اپلیکیشن‌های مایکروسافت نظیر تیمز، اوت‌لوک و آفیس رفت.

هیلای بن‌ساسن، یکی از پژوهشگران امنیتی شرکت Wiz، در توییتی جدید توضیح داده که او و اعضای تیمش چگونه نتایج جست‌و‌جوی بینگ را دست‌کاری کرده‌ و کنترل «میلیون‌ها حساب آفیس ۳۶۵» را در اختیار گرفته‌اند.

بر اساس گزارش ویندوز سنترال، پژوهشگران شرکت Wiz متوجه وجود یک بردار حمله (اتک‌وکتور) در Azure Active Directory شدند که هکرها از لحاظ تئوری می‌توانستند با اکسپلویت‌کردن آن، به اپلیکیشن‌های مایکروسافت دسترسی پیدا کنند. تقریبا ۲۵ درصد از سرویس‌های مبتنی‌بر معماری اجاره‌ی چندگانه (Multi-Tenancy) در برابر این نقص امنیتی، آسیب‌پذیر بودند. در معماری اجاره‌ی چندگانه چندین نمونه از اپلیکیشنی مشخص روی یک سرور اجرا می‌شوند تا بتوان از طریق آن سرور به چندین مستأجر (Tenant) خدمت‌دهی کرد.

آسیب‌پذیری بینگ‌بنگ باعث می‌شد شماری از اپلیکیشن‌های مایکروسافت در معرض خطر حمله‌ی هکری باشند. پژوهشگران شرکت Wiz موفق شدند نتایج جست‌و‌جوی بینگ را اصلاح کنند و سراغ حملات XSS به کاربران بینگ بروند. اگر حملات این‌چنینی موفقیت‌آمیز باشند، هکر از لحاظ تئوری می‌تواند به ایمیل‌های اوت‌لوک و اسناد شیرپوینت دسترسی پیدا کند. فایل‌های وان‌درایو، رویدادهای تقویم اوت‌لوک و پیام‌های سرویس تیمز نیز ممکن است به دست هکرها بیفتند.

مدیر ارشد فناوری شرکت Wiz در گفت‌و‌گو با نشریه‌ی وال‌استریت ژورنال اعلام کرد: «هکر احتمالی می‌توانست روی نتایج جست‌و‌جوی بینگ اثر بگذارد و ایمیل‌های مایکروسافت ۳۶۵ و داده‌های میلیون‌ها نفر را به خطر بیندازد.»

پژوهشگران Wiz به مایکروسافت خبر دادند و این شرکت آسیب‌پذیری بینگ را سریعاً برطرف کرد. این شرکت تحقیقاتی حدوداً یک ماه پیش جزئیات آسیب‌پذیری دیگری را در اختیار مایکروسافت قرار داد. ردموندی‌ها در تاریخ ۲۰ مارس ۲۰۲۳ (۱ فروردین ۱۴۰۱) به Wiz خبر دادند که تمامی مشکلات رفع شده است.

نسخه‌ی جدید بینگ که از هوش مصنوعی استفاده می‌کند، تنها چند روز پس از یکی از این آسیب‌پذیری‌های مهم رونمایی شد. اگر آسیب‌پذیری رفع نمی‌شد، ممکن بود تعداد زیادی از کاربرانی که به‌دلیل قابلیت‌های جدید بینگ به سمت این موتور جست‌و‌جو هجوم برده بودند در معرض خطر قرار بگیرند. چت‌بات بینگ به این موتور جست‌و‌جو کمک کرد که برای اولین بار به بیش از ۱۰۰ میلیون کاربر فعال روزانه دست پیدا کند.

آسیب‌پذیری بینگ‌بنگ سال‌ها در موتور جست‌و‌جوی مایکروسافت وجود داشت، با این‌حال آن‌طور که پژوهشگران می‌گویند، هیچ مدرکی وجود ندارد که نشان دهد هکرها از این آسیب‌پذیری سوءاستفاده کرده باشند.