Grunnet en feil i Azure-oppsettet til Microsoft relatert til Bing, fikk Hillai Ben-Sasson og hackergruppen Wiz forfatter-krefter.
Mer enn påskenøtter
Ben-Sasson fant at siden var så feil-konfiguerret at han ble gitt tilgang til “Bing Travia.” “Ikke la navnet lure deg,” forklarer sky-eksperten, som fort fant ut at den var i stand til langt mer enn quizzing: redigering av søkeresultatet i Bing!
Derfra må Ben-Sasson ha blitt noe svett i håndflatene, for da han prøvde å redigere resultatet på topp ved søk etter “best soundtracks” så endret han fra Dune fra 2021 til Hackers fra 1995 på førsteplass – whitehat-hackerens favoritt.
Han prøvde så å kjøre sin egen ikke-skadelige kode på siden med søke-resultatet – da han fant at det fungerte, kontaktet han Microsoft.
Annonse
Microsoft heldige ikke andre fant denne feilen først
Microsoft har til og med blogget om episoden, og uttaler at “Azure AD har blitt oppdatert for å slutte å utstede tilgangstokener til klienter som ikke er registrert i ressursleietakerne. Dette forhindrer at dette problemet oppstår selv om et program ikke håndterer autorisasjonskontrollen på riktig måte.”
Videre forklarer selskapet at de har gjort ytterligere forsterkninger av sikkerheten, og at feilen ikke ble ondsinnet utnyttet. Microsoft belønnet hackerne med 40 000 dollar som de senere uttalte de skal donere.
Det var også et annet veldig stort problem: fordi en innlogget Bing-bruker er koblet til mange andre Microsoft-tjenester, som Outlook, kalendere, Teams, SharePoint og OneDrive, kunne han hente ut dette om brukeren kjørte koden.
Annonse