Lek in Bing maakte manipulatie zoekresultaten mogelijk

Een lek in de configuratie van Azure zorgde ervoor dat elke gebruiker kon inloggen op het CMS waarmee Microsoft Bing beheert. Vervolgens konden zij zoekresultaten aanpassen en zelfs een payload invoegen om accounts van gebruikers binnen te dringen.

De onderzoekers noemen het lek BingBang. Het is een misconfiguratie van Azure Active Directory. Het selecteren van de verkeerde optie in de back-end om gebruikers in de eigen directory toegang te geven leidt ertoe dat iedereen met een Azure-account toegang heeft. Dat bleek onder meer het geval bij de toepassing Bing Trivia, waarmee Microsoft zoekresultaten over trivia beheert.

Daarin bleek het mogelijk om zoekresultaten te manipuleren in de carrousel boven in beeld. Ook konden de onderzoekers daarin een payload zetten om tokens te onderscheppen van ingelogde gebruikers. Van elke gebruiker die erop klikt, kunnen de aanvallers daarmee in alle Microsoft-toepassingen, zoals Outlook-mail en Sharepoint.

De onderzoekers stelden Microsoft op 31 januari op de hoogte. Het lek was dicht op 2 februari. Vervolgens hebben de onderzoekers gewacht tot alle Azure-platforms waar ook elke gebruiker kon inloggen het lek hadden gedicht voor ze informatie over BingBang naar buiten brachten.

BingBang-lekBingBang-lekBingBang-lek
BingBang-lekBingBang-lek

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 30-03-2023 17:34
22 • submitter: Anonymoussaurus

30-03-2023 • 17:34

22

Submitter: Anonymoussaurus

Lees meer

AI-onderzoekers Microsoft gaven per ongeluk toegang tot 38TB aan eigen data
AI-onderzoekers Microsoft gaven per ongeluk toegang tot 38TB aan eigen data Nieuws van 19 september 2023
Gerucht: Microsoft wil bieden zodat Bing standaardzoekmachine wordt in Firefox
Gerucht: Microsoft wil bieden zodat Bing standaardzoekmachine wordt in Firefox Nieuws van 11 mei 2023
Weggeknipte info uit Windows-screenshots is terug te halen door bug
Weggeknipte info uit Windows-screenshots is terug te halen door bug Nieuws van 22 maart 2023
Microsoft patcht zeroday in Outlook die te misbruiken is zonder actie gebruiker
Microsoft patcht zeroday in Outlook die te misbruiken is zonder actie gebruiker Nieuws van 15 maart 2023
Meer producten en artikelen
Beveiliging en antivirus Microsoft Bing Datalek

Reacties (22)

-Moderatie-faq
22
19
10
0
0
1
Wijzig sortering
Anonymoussaurus
30 maart 2023 17:48
Microsoft heeft zelf ook een blog met informatie hierover gepubliceerd en uitgelegd hoe je dit probleem kan voorkomen: https://msrc.microsoft.co...ations-that-use-azure-ad/. Het lek is inmiddels gedicht door Microsoft.
itsjohan 30 maart 2023 22:27
Het is helemaal geen lek of vulnerability in Azure; het is een in Azure gehoste web applicatie van Micosoft (de Bing beheer/CMS applicatie) die geen autorisatie deed en elk geldig Azure AD account binnen liet. En omdat je dat nogal makkelijk voor elkaar krijgt met multi-tenant apps zijn er wel meer van dit soort applicaties. In hun toelichting geeft Microsoft dan ook aan dat ze (autorisatie) fouten in een aantal eigen interne apps hebben ontdekt, niet dat er iets mis is met Azure of Azure Active Directory. Belangrijke nuance wat mij betreft.
Aldy 31 maart 2023 13:41
Misschien simplistisch, maar wat mij het meeste opviel was dat het probleem op 31 januari gemeld was en op 2 februari was het opgelost. (Natuurlijk nog niet bij iedereen geïmplementeerd)
Qws 30 maart 2023 17:57
Als het om beveiliging gaat, dan is Google wel de meester.

Ik voel achter Google Cloud ook meer kwaliteit dan bij Azure, ondanks dat Azure wel populairder is.
wildhagen
@Qws30 maart 2023 18:31
Helaas, ook Google heeft al meerdere serieuze lekken gehad, inclusief datalekken. Zo kwamen er bij Google Photo's foto's van mensen terecht bij onbekenden, en Google+ heeft ook al eens 52.5 miljoen gebruikers een datalek gegeven, om maar eens enkele (maar zeker niet alle) voorbeelden te noemen.

Elk product heeft tegenwoordig wel een kwetsbaarheid, het is bijna onmogelijk om een complex produkt te maken dat geen enkele kwetsbaarheid heeft.
NonTweaker @wildhagen30 maart 2023 19:59
Ter aanvulling..

1) NetworkChuck
https://www.youtube.com/@NetworkChuck/videos

2) John Hammond
https://youtu.be/ILhd-Bdrr_g

3) Linus (LTT) gehacked..
https://youtu.be/yGXaAWbzl5A
Loller1
@Qws30 maart 2023 23:03
Google de meester? Hebben we net niet gezien hoe YouTube's beveiliging session hijacking toelaat vanaf de andere kant van de wereld en daarmee verschillende kanalen constant hackt met uiteraard het laatste grote voorval LTT (ga nu zoeken op YouTube en er zijn nog van dit soort praktijken bezig)? Of hun verschillende datalekken.

Kom op zeg. Zijn ze slechter? Niet persé, maar laten we niet doen alsof Google niet om de haverklap een beveiligingsprobleem heeft (en in het geval van YouTube een aanhoudend probleem dat nu al maanden wordt misbruikt en gemeld).
readefries @Qws30 maart 2023 18:24
Dat gevoel heb ik ook, de tools van Google voelen meer af.
beeldbuijs @readefries31 maart 2023 00:01
Misschien gebruiken we niet dezelfde Google apps? Google Ads is met afstand de app met de meest chaotische en onnodig complexe interface ooit. Daar blijft het niet bij. Om er nog een paar schepjes bovenop te doen, zijn de gebruikte begrippen, ook in vertalingen, vaak raadselachtig en uniek voor Google dus nergens mee te vergelijken, oftewel je moet vaak maar raden wat er bedoeld wordt. Daarnaast is de opzet en interface voortdurend aan verandering onderhevig en lopen de support-pagina's vaak minstens een versie achter op de actuele versie. Ook het koppelen van accounts en beheer is een terugkerend drama. Het is altijd weer een verrassing waar je nu weer tegenaan loopt en of het een beperking is of iets wat gewoon niet werkt. Echt, als ik ergens gefrustreerd van wordt en dagen mee vergooid heb, is het wel de applicaties van Google.
jmmk @beeldbuijs31 maart 2023 02:07
En dan te bedenken dat Google Ads de kurk is waar het concern op drijft...
readefries @beeldbuijs31 maart 2023 06:47
Dat denk ik dan.
Ik gebruik de cli tools en natuurlijk de online workspace. Waarbij ik vrijwel over de hele linie zie dat bij Google meer af is. Ik vermoed dat dit komt doordat Microsoft veel meer bezig met features toe te voegen (CIO lijstjes pleasen) en Google het KISS houdt. Vergelijk Teams maar eens met Meet, of Sheets met Excel.
wavemaster100 @readefries31 maart 2023 20:41
Moet je eens Google Analytics 4 of Google Looker Studio gebruiken. Dan denk je er wel anders over ;)
CivLord @Kabouterplop0131 maart 2023 12:35
Met het programmeerwerk was niets mis. Het probleem zat in de instellingen.
Je kan de meest veilige kluis ter wereld hebben, maar wanneer je vergeet deze op slot te doen, kan iedereen bij de inhoud.
Kabouterplop01 @CivLord1 april 2023 09:17
Ik doel erop dat die setting helemaal niet zou horen te bestaan, binnen hetzelfde account.
Daar zou een scheiding moeten zijn tussen een publisher en een editor.
Yalopa @DeSoepkip30 maart 2023 18:44
Ik zou het toch eens een nieuwe kans geven. Je zal versteld staan.
fm77 @Yalopa30 maart 2023 18:54
Maakt duckduckgo geen gebruik van Bing?

Edit:
Ja dus:
DuckDuckGo's results are a compilation of "over 400" sources according to itself, including Bing, Yahoo! Search BOSS, Wolfram Alpha, Yandex, and its own web crawler (the DuckDuckBot); but none from Google

[Reactie gewijzigd door fm77 op 25 juli 2024 09:57]

batjes
@fm7730 maart 2023 19:06
Jazeker. Wel met eigen sausje.
GeroldM @Yalopa30 maart 2023 20:35
Hier in Zuid-Amerika is Bing helemaal niet populair en/of bruikbaar. Veel te vaak komen de zoekresultaten met (zwaar) verouderde gegevens voor locaties alhier aanzetten. Google's resultaten zijn echter ook minder goed geworden in dit deel van de wereld.

Facebook, WhatsApp en Instagram zijn hier 'heer en meester' als het gaat om online bereikbaarheid. Het ligt er nogal aan waar je je bevind op deze aardkloot. Bing als geheel valt hier dus echt wel tegen. In de VS is Bing veel beter (duh!), misschien dat het ondertussen ook is verbeterd in (West-)Europa. Kan je echter verzekeren dat het in Zuid-Amerika triest is gesteld.
beerse @DeSoepkip31 maart 2023 09:26
Toch wordt het meer gebruikt dan je denkt. :o Om bij Google te komen bijvoorbeeld. :+

Voor de volgers/wappies/wokers/samenzweerders: https://www.demorgen.be/t...le-pocht-google~b5431ad5/

[Reactie gewijzigd door beerse op 25 juli 2024 09:57]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq