Skip to main content

Falla de Bing cambia los resultados de búsqueda y roba archivos

Un investigador de seguridad pudo recientemente cambiar los primeros resultados en el motor de búsqueda Bing de Microsoft y acceder a los archivos privados de cualquier usuario, lo que podría poner en riesgo a millones de usuarios, y todo lo que se necesitó fue iniciar sesión en una página web no segura.

El exploit fue descubierto por el investigador Hillai Ben-Sasson en su equipo en Wiz, una empresa de seguridad en la nube. Según Ben-Sasson, no solo permitiría a un atacante cambiar los resultados de búsqueda de Bing, sino que también les otorgaría acceso a millones de archivos y datos privados de los usuarios.

The #BingBang - a Bing.com vulnerability discovered by Wiz Research

Apodada BingBang por el grupo de investigación, la vulnerabilidad se centró en Azure Active Directory de Microsoft, que es utilizado por las empresas para administrar las identidades de los usuarios y el acceso a las aplicaciones. Desafortunadamente, si una aplicación está mal configurada, cualquier usuario de Azure del mundo puede iniciar sesión en ella sin las credenciales adecuadas.

Sorprendentemente, los investigadores notaron en un análisis técnico del error que hasta el 25% de todas las aplicaciones multiusuario que escanearon eran vulnerables, incluida una aplicación de Microsoft llamada Bing Trivia.

Después de explotar la falla para iniciar sesión en la aplicación Bing Trivia, el equipo de Wiz encontró un sistema de administración de contenido (CMS) vinculado a Bing.com que controlaba los resultados en vivo del motor de búsqueda. Con un toque de humor, luego alteraron una de las entradas, cambiando el resultado superior para «mejores bandas sonoras» de la partitura de Dune a la de la película de 1995 Hackers.

Sin embargo, no hay nada gracioso en lo que implica este defecto. Como explicaron los investigadores, «un actor malicioso que aterriza en la página de la aplicación Bing Trivia podría, por lo tanto, haber manipulado cualquier término de búsqueda y lanzado campañas de desinformación, así como phishing y suplantado otros sitios web».

Robar archivos privados y correos electrónicos

Se aplicó una comparación de los resultados de búsqueda de Bing antes y después del exploit de BingBang, que muestra cómo se podría alterar la lista de bandas sonoras de películas recomendadas.
Wiz

Además, los investigadores pudieron agregar una carga útil inofensiva de secuencias de comandos entre sitios (XSS) en Bing mientras estaban conectados. Esto fue capaz de funcionar como se esperaba, sin interferencias. Después de informar el problema a Microsoft, los investigadores intentaron modificar esta carga útil XSS para ver qué era posible.

Debido a que Bing se integra con Microsoft 365, el equipo de Wiz pudo crear un script que podría robar los tokens de acceso de un usuario conectado, otorgándoles acceso a los datos en la nube de ese usuario. Eso podría incluir correos electrónicos de Outlook, calendarios, mensajes de Teams, archivos de OneDrive y más.

En conjunto, eso significa que un hacker podría tener el poder de redirigir los resultados de búsqueda de Bing a un sitio web malicioso y, al mismo tiempo, recopilar datos privados de cualquier usuario que haya iniciado sesión en una cuenta de Microsoft 365. Todo por explotar una simple vulnerabilidad de inicio de sesión.

Afortunadamente, los investigadores informaron inmediatamente la falla a Microsoft y fue parcheada poco después, lo que resultó en una recompensa por error de $ 40,000. Sin embargo, sigue siendo un ejemplo alarmante de cuán poco esfuerzo se puede requerir para robar datos privados de millones de usuarios desprevenidos.

Recomendaciones del editor

Diego Bastarrica
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Microsoft presenta nuevas versiones de Edge y Bing
Más que un mero cambio de logo: nuevo Microsoft Edge y Bing para empresas

Tanto a nivel particular como profesional, todos comenzamos a familiarizarnos con internet a comienzos de los 90 (algunos antes, claro, pero no eran mayoría). Desde entonces, las búsquedas en la web pasaron de ser novedosos y alucinantes recursos de unos pocos a habituales e imprescindibles herramientas de información, tanto que hoy en día nadie concibe un lugar de trabajo sin un motor de búsqueda a mano, y esto sin mencionar la omnipresencia de los correos electrónicos.

Han pasado los años y las décadas, y ya sabemos muy bien de lo que las grandes tecnológicas son capaces hacer, tanto que ya no necesitamos que nos sorprendan con demasiada pirotecnia cibernética. Hoy, a fines de 2019, lo que queremos es algo efectivo y simple. No necesitamos que a cada petición nos bombardeen con cientos de íconos y luces parpadeantes (sabemos ya que pueden darnos billones de opciones en menos de un segundo). Queremos pantallas limpias, con símbolos claros y evidentes. No queremos ni oír hablar de curvas de aprendizaje: queremos simplemente comenzar a usar, y darnos cuenta, poco tiempo después, que ya hemos aprendido. Como abrir simplemente una pantalla y ponerse a escribir.

Leer más
¿Por qué Microsoft suspendió los parches de seguridad contra Meltdown y Spectre?
microsoft anuncia evento 26 octubre ifa 2015 640x0

Hay novedades respecto a la falla de diseño en los microprocesadores fabricados por Intel y no son buenas noticias. Ahora, Microsoft anunció que ha suspendido los parches de seguridad que están destinados a solucionar esta vulnerabilidad, por quejas masivas de sus usuarios.

Al parecer, esta solución no sólo provocó que el sistema operase a una velocidad mucho más lenta, sino que, en muchos casos, logró que las computadoras se congelasen completamente y dejasen de funcionar. Microsoft dijo en su blog que está trabajando con AMD para resolver el problema, y reanudará lo antes posible las actualizaciones de software del sistema operativo Windows en los dispositivos afectados, a través de Windows Update.

Leer más
Ahora Photoshop podría traer magia de IA a tus imágenes
adobe photoshop relleno generativo generative fill

En estos días, parece que todos y su perro están trabajando la inteligencia artificial (IA) en sus productos tecnológicos, desde ChatGPT en su navegador web hasta la edición de imágenes de clic y arrastre. El último ejemplo es Adobe Photoshop, pero esta no es solo otra solución rápida, no, podría tener un profundo efecto en las imágenes y los creadores de imágenes.

La función más reciente de Photoshop se llama Relleno generativo, y le permite usar mensajes de texto para ajustar automáticamente las áreas de una imagen en la que está trabajando. Esto podría permitirle agregar nuevas funciones, ajustar elementos existentes o eliminar secciones no deseadas de la imagen escribiendo su solicitud en la aplicación.

Leer más