Un investigador de seguridad pudo recientemente cambiar los primeros resultados en el motor de búsqueda Bing de Microsoft y acceder a los archivos privados de cualquier usuario, lo que podría poner en riesgo a millones de usuarios, y todo lo que se necesitó fue iniciar sesión en una página web no segura.
El exploit fue descubierto por el investigador Hillai Ben-Sasson en su equipo en Wiz, una empresa de seguridad en la nube. Según Ben-Sasson, no solo permitiría a un atacante cambiar los resultados de búsqueda de Bing, sino que también les otorgaría acceso a millones de archivos y datos privados de los usuarios.
Apodada BingBang por el grupo de investigación, la vulnerabilidad se centró en Azure Active Directory de Microsoft, que es utilizado por las empresas para administrar las identidades de los usuarios y el acceso a las aplicaciones. Desafortunadamente, si una aplicación está mal configurada, cualquier usuario de Azure del mundo puede iniciar sesión en ella sin las credenciales adecuadas.
Sorprendentemente, los investigadores notaron en un análisis técnico del error que hasta el 25% de todas las aplicaciones multiusuario que escanearon eran vulnerables, incluida una aplicación de Microsoft llamada Bing Trivia.
Después de explotar la falla para iniciar sesión en la aplicación Bing Trivia, el equipo de Wiz encontró un sistema de administración de contenido (CMS) vinculado a Bing.com que controlaba los resultados en vivo del motor de búsqueda. Con un toque de humor, luego alteraron una de las entradas, cambiando el resultado superior para «mejores bandas sonoras» de la partitura de Dune a la de la película de 1995 Hackers.
Sin embargo, no hay nada gracioso en lo que implica este defecto. Como explicaron los investigadores, «un actor malicioso que aterriza en la página de la aplicación Bing Trivia podría, por lo tanto, haber manipulado cualquier término de búsqueda y lanzado campañas de desinformación, así como phishing y suplantado otros sitios web».
Robar archivos privados y correos electrónicos
Además, los investigadores pudieron agregar una carga útil inofensiva de secuencias de comandos entre sitios (XSS) en Bing mientras estaban conectados. Esto fue capaz de funcionar como se esperaba, sin interferencias. Después de informar el problema a Microsoft, los investigadores intentaron modificar esta carga útil XSS para ver qué era posible.
Debido a que Bing se integra con Microsoft 365, el equipo de Wiz pudo crear un script que podría robar los tokens de acceso de un usuario conectado, otorgándoles acceso a los datos en la nube de ese usuario. Eso podría incluir correos electrónicos de Outlook, calendarios, mensajes de Teams, archivos de OneDrive y más.
En conjunto, eso significa que un hacker podría tener el poder de redirigir los resultados de búsqueda de Bing a un sitio web malicioso y, al mismo tiempo, recopilar datos privados de cualquier usuario que haya iniciado sesión en una cuenta de Microsoft 365. Todo por explotar una simple vulnerabilidad de inicio de sesión.
Afortunadamente, los investigadores informaron inmediatamente la falla a Microsoft y fue parcheada poco después, lo que resultó en una recompensa por error de $ 40,000. Sin embargo, sigue siendo un ejemplo alarmante de cuán poco esfuerzo se puede requerir para robar datos privados de millones de usuarios desprevenidos.
