All’inizio del 2023 gli esperti di cybersicurezza hanno identificato una vulnerabilità molto pericolosa nel motore di ricerca Bing di Microsoft: a causa di una configurazione errata in Azure, la piattaforma di cloud computing di Microsoft, Bing consentiva di modificare i risultati di ricerca globali e accedere alle informazioni private di altri utenti Bing da Teams, Outlook e Office 365, senza alcuna autorizzazione ufficiale.
Alla scoperta del “Bing Bang”
Soprannominata anche “Bing Bang”, questa vulnerabilità riguardava nello specifico il servizio di gestione delle identità e degli accessi di Azure Active Directory (AAD), tramite il quale qualunque utente Azure poteva manipolare migliaia di dati nel CMS di Bing Trivia, restituendo agli utenti risultati precedentemente impensabili o mai visti con certe query. Ad esempio, come potete vedere dal tweet sottostante, alla ricerca delle “migliori colonne sonore” il ricercatore Hillai Ben-Sasson è riuscito a inserire Hackers accanto a Soul e Dune.
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… ?
This is the story of #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) March 29, 2023
Naturalmente questo è un esempio simpatico, ma la realtà è un’altra: un’indagine dei ricercatori di Wiz ha difatti rivelato che l’exploit poteva essere utilizzato per accedere ai dati di Office 365 di altri utenti, esponendo e-mail, calendari, messaggi di Teams, documenti di SharePoint e file di OneDrive di Outlook. L’exploit, alla fine, risultava presente in oltre 1.000 app e siti Web presenti sul cloud di Microsoft.
Ami Luttwak, Chief Technology Officer di Wiz, ha dichiarato:
“Un potenziale utente malintenzionato potrebbe aver influenzato i risultati di ricerca di Bing e compromesso le e-mail e i dati di Microsoft 365 di milioni di persone. Poteva essere uno stato-nazione che cerca di influenzare l’opinione pubblica, o un hacker motivato finanziariamente.”
Questa vulnerabilità è stata risolta formalmente il 20 marzo su tutte le piattaforme colpite, dopo l’invio della segnalazione al Security Response Center di Microsoft avvenuto il 31 gennaio. Microsoft e Wiz hanno comunque assicurato che non ci sono prove che la vulnerabilità sia stata sfruttata prima della patch.