Skip to main content

Falla de Bing cambia los resultados de búsqueda y roba archivos

Un investigador de seguridad pudo recientemente cambiar los primeros resultados en el motor de búsqueda Bing de Microsoft y acceder a los archivos privados de cualquier usuario, lo que podría poner en riesgo a millones de usuarios, y todo lo que se necesitó fue iniciar sesión en una página web no segura.

El exploit fue descubierto por el investigador Hillai Ben-Sasson en su equipo en Wiz, una empresa de seguridad en la nube. Según Ben-Sasson, no solo permitiría a un atacante cambiar los resultados de búsqueda de Bing, sino que también les otorgaría acceso a millones de archivos y datos privados de los usuarios.

The #BingBang - a Bing.com vulnerability discovered by Wiz Research

Apodada BingBang por el grupo de investigación, la vulnerabilidad se centró en Azure Active Directory de Microsoft, que es utilizado por las empresas para administrar las identidades de los usuarios y el acceso a las aplicaciones. Desafortunadamente, si una aplicación está mal configurada, cualquier usuario de Azure del mundo puede iniciar sesión en ella sin las credenciales adecuadas.

Sorprendentemente, los investigadores notaron en un análisis técnico del error que hasta el 25% de todas las aplicaciones multiusuario que escanearon eran vulnerables, incluida una aplicación de Microsoft llamada Bing Trivia.

Después de explotar la falla para iniciar sesión en la aplicación Bing Trivia, el equipo de Wiz encontró un sistema de administración de contenido (CMS) vinculado a Bing.com que controlaba los resultados en vivo del motor de búsqueda. Con un toque de humor, luego alteraron una de las entradas, cambiando el resultado superior para «mejores bandas sonoras» de la partitura de Dune a la de la película de 1995 Hackers.

Sin embargo, no hay nada gracioso en lo que implica este defecto. Como explicaron los investigadores, «un actor malicioso que aterriza en la página de la aplicación Bing Trivia podría, por lo tanto, haber manipulado cualquier término de búsqueda y lanzado campañas de desinformación, así como phishing y suplantado otros sitios web».

Robar archivos privados y correos electrónicos

Se aplicó una comparación de los resultados de búsqueda de Bing antes y después del exploit de BingBang, que muestra cómo se podría alterar la lista de bandas sonoras de películas recomendadas.
Wiz

Además, los investigadores pudieron agregar una carga útil inofensiva de secuencias de comandos entre sitios (XSS) en Bing mientras estaban conectados. Esto fue capaz de funcionar como se esperaba, sin interferencias. Después de informar el problema a Microsoft, los investigadores intentaron modificar esta carga útil XSS para ver qué era posible.

Debido a que Bing se integra con Microsoft 365, el equipo de Wiz pudo crear un script que podría robar los tokens de acceso de un usuario conectado, otorgándoles acceso a los datos en la nube de ese usuario. Eso podría incluir correos electrónicos de Outlook, calendarios, mensajes de Teams, archivos de OneDrive y más.

En conjunto, eso significa que un hacker podría tener el poder de redirigir los resultados de búsqueda de Bing a un sitio web malicioso y, al mismo tiempo, recopilar datos privados de cualquier usuario que haya iniciado sesión en una cuenta de Microsoft 365. Todo por explotar una simple vulnerabilidad de inicio de sesión.

Afortunadamente, los investigadores informaron inmediatamente la falla a Microsoft y fue parcheada poco después, lo que resultó en una recompensa por error de $ 40,000. Sin embargo, sigue siendo un ejemplo alarmante de cuán poco esfuerzo se puede requerir para robar datos privados de millones de usuarios desprevenidos.

Diego Bastarrica
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Cómo realizar una búsqueda inversa de imágenes en iOS y Android
búsqueda inversa de imágenes

La mayoría de nosotros ya estamos familiarizados con las búsquedas de imágenes, pero qué pasa cuando solo te interesa saber el origen o localizar una similar. Una herramienta de búsqueda inversa de imágenes realiza esa tarea en tu dispositivo iOS o Android, así como en tu computadora de escritorio o portátil.
Te va a interesar:

Google renueva diseño: así será su búsqueda en móviles
Google Fotos podría cobrar por algunas funciones de edición
Google te dirá qué web vas a visitar antes de que hagas clic

Leer más
Excel gana y obliga a los científicos a cambiar nombres de genes humanos
Microsoft Excel

Un grave problema laboral han sufrido varios genetistas y científicos del mundo al trabajar sus plantillas de cálculo y estadísticas de investigaciones en Microsoft Excel, todo porque muchos de los nombres de genes humanos eran transformados en el programa por fechas del calendario.

El sitio The Verge estudió el problema y reconoció que fueron muchos los investigadores que debieron elevar peticiones para cambiar los nombres científicos para evitar el error.

Leer más
Cómo cambiar los programas de inicio y arrancar más rápido tu computadora
Portatil encendida sobre una mesa de madera lita para aprender cómo cambiar los programas de inicio

¿Has notado últimamente que tu computadora arranca tarda mucho más de lo que habitual en arrancar, incluso con un disco SSD rápido? Es posible que tengas demasiadas aplicaciones de alta demanda que se ejecutan con el arranque de Windows o MacOS. La solución es deshabilitarlas y nosotros te contamos cómo cambiar los programas de inicio, según el sistema operativo que ejecutes.

Algunas aplicaciones que se ejecutan en el inicio de sesión son innecesarias y otras son solo elementos rotos de programas anteriores, que deberían eliminarse de todos modos. En otras palabras, puedes deshacerte de ellas y mejorar los tiempos de inicio sin poner en riesgo tu equipo.
Administrar aplicaciones de inicio en Windows 10

Leer más