Cette faille de Bing permet aux pirates de modifier les résultats de recherche et de voler vos fichiers

Hibou Gourou

Un chercheur en sécurité a récemment pu modifier les meilleurs résultats du moteur de recherche Bing de Microsoft et accéder aux fichiers privés de n'importe quel utilisateur, mettant potentiellement des millions d'utilisateurs en danger – et tout ce qu'il a fallu, c'est se connecter à une page Web non sécurisée.

L'exploit a été découvert par le chercheur Hillai Ben-Sasson dans leur équipe de Wiz, une société de sécurité cloud. Selon Ben-Sasson , cela permettrait non seulement à un attaquant de modifier les résultats de recherche Bing, mais lui donnerait également accès aux fichiers et données privés de millions d'utilisateurs.

Le #BingBang – une vulnérabilité de Bing.com découverte par Wiz Research

Surnommée BingBang par le groupe de recherche, la vulnérabilité était centrée sur Azure Active Directory de Microsoft, qui est utilisé par les entreprises pour gérer les identités des utilisateurs et l'accès aux applications. Malheureusement, si une application est mal configurée, tout utilisateur Azure dans le monde peut s'y connecter sans les informations d'identification appropriées.

Étonnamment, les chercheurs ont noté dans une analyse technique du bogue que jusqu'à 25 % de toutes les applications multi-utilisateurs qu'ils ont analysées étaient vulnérables, y compris une application Microsoft nommée Bing Trivia.

Après avoir exploité la faille pour se connecter à l'application Bing Trivia, l'équipe Wiz a trouvé un système de gestion de contenu (CMS) lié à Bing.com qui contrôlait les résultats en direct du moteur de recherche. Avec une touche d'humour, ils ont ensuite modifié l'une des entrées, changeant le meilleur résultat pour les "meilleures bandes sonores" de la partition de Dune en celle du film Hackers de 1995.

Cependant, il n'y a rien de drôle dans ce que cette faille implique. Comme l'ont expliqué les chercheurs, "un acteur malveillant atterrissant sur la page de l'application Bing Trivia aurait donc pu falsifier n'importe quel terme de recherche et lancer des campagnes de désinformation, ainsi que hameçonner et usurper l'identité d'autres sites Web".

Voler des fichiers et des e-mails privés

Une comparaison des résultats de recherche Bing avant et après l'application de l'exploit BingBang, montrant comment la liste des bandes sonores de films recommandées pourrait être modifiée.

De plus, les chercheurs ont pu ajouter une charge utile XSS (cross-site scripting) inoffensive dans Bing alors qu'ils étaient connectés. Cela a pu fonctionner comme prévu, sans interférence. Après avoir signalé le problème à Microsoft, les chercheurs ont essayé de modifier cette charge utile XSS pour voir ce qui était possible.

Comme Bing s'intègre à Microsoft 365 , l'équipe Wiz a pu créer un script qui pourrait potentiellement voler les jetons d'accès d'un utilisateur connecté, lui accordant l'accès aux données cloud de cet utilisateur. Cela peut inclure les e-mails Outlook , les calendriers, les messages Teams, les fichiers OneDrive, etc.

Ensemble, cela signifie qu'un pirate pourrait avoir le pouvoir de rediriger les résultats de recherche Bing vers un site Web malveillant, et en même temps de récolter des données privées de tout utilisateur connecté à un compte Microsoft 365. Tout cela en exploitant une simple vulnérabilité de connexion.

Heureusement, les chercheurs ont immédiatement signalé la faille à Microsoft et elle a été corrigée peu de temps après, ce qui a entraîné une prime de bogue de 40 000 $. Pourtant, cela reste un exemple alarmant du peu d'efforts qui peuvent être nécessaires pour voler des données privées à des millions d'utilisateurs sans méfiance.