Lek in Bing maakte manipulatie zoekresultaten mogelijk

Een lek in de configuratie van Azure zorgde ervoor dat elke gebruiker kon inloggen op het CMS waarmee Microsoft Bing beheert. Vervolgens konden zij zoekresultaten aanpassen en zelfs een payload invoegen om accounts van gebruikers binnen te dringen.

De onderzoekers noemen het lek BingBang. Het is een misconfiguratie van Azure Active Directory. Het selecteren van de verkeerde optie in de back-end om gebruikers in de eigen directory toegang te geven leidt ertoe dat iedereen met een Azure-account toegang heeft. Dat bleek onder meer het geval bij de toepassing Bing Trivia, waarmee Microsoft zoekresultaten over trivia beheert.

Daarin bleek het mogelijk om zoekresultaten te manipuleren in de carrousel boven in beeld. Ook konden de onderzoekers daarin een payload zetten om tokens te onderscheppen van ingelogde gebruikers. Van elke gebruiker die erop klikt, kunnen de aanvallers daarmee in alle Microsoft-toepassingen, zoals Outlook-mail en Sharepoint.

De onderzoekers stelden Microsoft op 31 januari op de hoogte. Het lek was dicht op 2 februari. Vervolgens hebben de onderzoekers gewacht tot alle Azure-platforms waar ook elke gebruiker kon inloggen het lek hadden gedicht voor ze informatie over BingBang naar buiten brachten.

Door Arnoud Wokke

Redacteur

30-03-2023 • 17:34

22 Linkedin

Submitter: AnonymousWP

Reacties (22)

22
19
10
0
0
1
Wijzig sortering
Microsoft heeft zelf ook een blog met informatie hierover gepubliceerd en uitgelegd hoe je dit probleem kan voorkomen: https://msrc.microsoft.co...ations-that-use-azure-ad/. Het lek is inmiddels gedicht door Microsoft.
Het is helemaal geen lek of vulnerability in Azure; het is een in Azure gehoste web applicatie van Micosoft (de Bing beheer/CMS applicatie) die geen autorisatie deed en elk geldig Azure AD account binnen liet. En omdat je dat nogal makkelijk voor elkaar krijgt met multi-tenant apps zijn er wel meer van dit soort applicaties. In hun toelichting geeft Microsoft dan ook aan dat ze (autorisatie) fouten in een aantal eigen interne apps hebben ontdekt, niet dat er iets mis is met Azure of Azure Active Directory. Belangrijke nuance wat mij betreft.
Misschien simplistisch, maar wat mij het meeste opviel was dat het probleem op 31 januari gemeld was en op 2 februari was het opgelost. (Natuurlijk nog niet bij iedereen geïmplementeerd)
Als het om beveiliging gaat, dan is Google wel de meester.

Ik voel achter Google Cloud ook meer kwaliteit dan bij Azure, ondanks dat Azure wel populairder is.
Helaas, ook Google heeft al meerdere serieuze lekken gehad, inclusief datalekken. Zo kwamen er bij Google Photo's foto's van mensen terecht bij onbekenden, en Google+ heeft ook al eens 52.5 miljoen gebruikers een datalek gegeven, om maar eens enkele (maar zeker niet alle) voorbeelden te noemen.

Elk product heeft tegenwoordig wel een kwetsbaarheid, het is bijna onmogelijk om een complex produkt te maken dat geen enkele kwetsbaarheid heeft.
Google de meester? Hebben we net niet gezien hoe YouTube's beveiliging session hijacking toelaat vanaf de andere kant van de wereld en daarmee verschillende kanalen constant hackt met uiteraard het laatste grote voorval LTT (ga nu zoeken op YouTube en er zijn nog van dit soort praktijken bezig)? Of hun verschillende datalekken.

Kom op zeg. Zijn ze slechter? Niet persé, maar laten we niet doen alsof Google niet om de haverklap een beveiligingsprobleem heeft (en in het geval van YouTube een aanhoudend probleem dat nu al maanden wordt misbruikt en gemeld).
Dat gevoel heb ik ook, de tools van Google voelen meer af.
Misschien gebruiken we niet dezelfde Google apps? Google Ads is met afstand de app met de meest chaotische en onnodig complexe interface ooit. Daar blijft het niet bij. Om er nog een paar schepjes bovenop te doen, zijn de gebruikte begrippen, ook in vertalingen, vaak raadselachtig en uniek voor Google dus nergens mee te vergelijken, oftewel je moet vaak maar raden wat er bedoeld wordt. Daarnaast is de opzet en interface voortdurend aan verandering onderhevig en lopen de support-pagina's vaak minstens een versie achter op de actuele versie. Ook het koppelen van accounts en beheer is een terugkerend drama. Het is altijd weer een verrassing waar je nu weer tegenaan loopt en of het een beperking is of iets wat gewoon niet werkt. Echt, als ik ergens gefrustreerd van wordt en dagen mee vergooid heb, is het wel de applicaties van Google.
En dan te bedenken dat Google Ads de kurk is waar het concern op drijft...
Dat denk ik dan.
Ik gebruik de cli tools en natuurlijk de online workspace. Waarbij ik vrijwel over de hele linie zie dat bij Google meer af is. Ik vermoed dat dit komt doordat Microsoft veel meer bezig met features toe te voegen (CIO lijstjes pleasen) en Google het KISS houdt. Vergelijk Teams maar eens met Meet, of Sheets met Excel.
Moet je eens Google Analytics 4 of Google Looker Studio gebruiken. Dan denk je er wel anders over ;)
Met het programmeerwerk was niets mis. Het probleem zat in de instellingen.
Je kan de meest veilige kluis ter wereld hebben, maar wanneer je vergeet deze op slot te doen, kan iedereen bij de inhoud.
Ik doel erop dat die setting helemaal niet zou horen te bestaan, binnen hetzelfde account.
Daar zou een scheiding moeten zijn tussen een publisher en een editor.
Ik zou het toch eens een nieuwe kans geven. Je zal versteld staan.
Maakt duckduckgo geen gebruik van Bing?

Edit:
Ja dus:
DuckDuckGo's results are a compilation of "over 400" sources according to itself, including Bing, Yahoo! Search BOSS, Wolfram Alpha, Yandex, and its own web crawler (the DuckDuckBot); but none from Google

[Reactie gewijzigd door fm77 op 30 maart 2023 19:07]

Jazeker. Wel met eigen sausje.
Hier in Zuid-Amerika is Bing helemaal niet populair en/of bruikbaar. Veel te vaak komen de zoekresultaten met (zwaar) verouderde gegevens voor locaties alhier aanzetten. Google's resultaten zijn echter ook minder goed geworden in dit deel van de wereld.

Facebook, WhatsApp en Instagram zijn hier 'heer en meester' als het gaat om online bereikbaarheid. Het ligt er nogal aan waar je je bevind op deze aardkloot. Bing als geheel valt hier dus echt wel tegen. In de VS is Bing veel beter (duh!), misschien dat het ondertussen ook is verbeterd in (West-)Europa. Kan je echter verzekeren dat het in Zuid-Amerika triest is gesteld.
Toch wordt het meer gebruikt dan je denkt. :o Om bij Google te komen bijvoorbeeld. :+

Voor de volgers/wappies/wokers/samenzweerders: https://www.demorgen.be/t...le-pocht-google~b5431ad5/

[Reactie gewijzigd door beerse op 31 maart 2023 09:30]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee