Lek in Bing maakte manipulatie zoekresultaten mogelijk

Een lek in de configuratie van Azure zorgde ervoor dat elke gebruiker kon inloggen op het CMS waarmee Microsoft Bing beheert. Vervolgens konden zij zoekresultaten aanpassen en zelfs een payload invoegen om accounts van gebruikers binnen te dringen.

De onderzoekers noemen het lek BingBang. Het is een misconfiguratie van Azure Active Directory. Het selecteren van de verkeerde optie in de back-end om gebruikers in de eigen directory toegang te geven leidt ertoe dat iedereen met een Azure-account toegang heeft. Dat bleek onder meer het geval bij de toepassing Bing Trivia, waarmee Microsoft zoekresultaten over trivia beheert.

Daarin bleek het mogelijk om zoekresultaten te manipuleren in de carrousel boven in beeld. Ook konden de onderzoekers daarin een payload zetten om tokens te onderscheppen van ingelogde gebruikers. Van elke gebruiker die erop klikt, kunnen de aanvallers daarmee in alle Microsoft-toepassingen, zoals Outlook-mail en Sharepoint.

De onderzoekers stelden Microsoft op 31 januari op de hoogte. Het lek was dicht op 2 februari. Vervolgens hebben de onderzoekers gewacht tot alle Azure-platforms waar ook elke gebruiker kon inloggen het lek hadden gedicht voor ze informatie over BingBang naar buiten brachten.

BingBang-lekBingBang-lekBingBang-lek
BingBang-lekBingBang-lek

Door Arnoud Wokke

Redacteur Tweakers

30-03-2023 • 17:34

22

Submitter: Anonymoussaurus

Reacties (22)

22
19
10
0
0
1
Wijzig sortering
Microsoft heeft zelf ook een blog met informatie hierover gepubliceerd en uitgelegd hoe je dit probleem kan voorkomen: https://msrc.microsoft.co...ations-that-use-azure-ad/. Het lek is inmiddels gedicht door Microsoft.
Het is helemaal geen lek of vulnerability in Azure; het is een in Azure gehoste web applicatie van Micosoft (de Bing beheer/CMS applicatie) die geen autorisatie deed en elk geldig Azure AD account binnen liet. En omdat je dat nogal makkelijk voor elkaar krijgt met multi-tenant apps zijn er wel meer van dit soort applicaties. In hun toelichting geeft Microsoft dan ook aan dat ze (autorisatie) fouten in een aantal eigen interne apps hebben ontdekt, niet dat er iets mis is met Azure of Azure Active Directory. Belangrijke nuance wat mij betreft.
Misschien simplistisch, maar wat mij het meeste opviel was dat het probleem op 31 januari gemeld was en op 2 februari was het opgelost. (Natuurlijk nog niet bij iedereen geïmplementeerd)
Als het om beveiliging gaat, dan is Google wel de meester.

Ik voel achter Google Cloud ook meer kwaliteit dan bij Azure, ondanks dat Azure wel populairder is.
Helaas, ook Google heeft al meerdere serieuze lekken gehad, inclusief datalekken. Zo kwamen er bij Google Photo's foto's van mensen terecht bij onbekenden, en Google+ heeft ook al eens 52.5 miljoen gebruikers een datalek gegeven, om maar eens enkele (maar zeker niet alle) voorbeelden te noemen.

Elk product heeft tegenwoordig wel een kwetsbaarheid, het is bijna onmogelijk om een complex produkt te maken dat geen enkele kwetsbaarheid heeft.
Google de meester? Hebben we net niet gezien hoe YouTube's beveiliging session hijacking toelaat vanaf de andere kant van de wereld en daarmee verschillende kanalen constant hackt met uiteraard het laatste grote voorval LTT (ga nu zoeken op YouTube en er zijn nog van dit soort praktijken bezig)? Of hun verschillende datalekken.

Kom op zeg. Zijn ze slechter? Niet persé, maar laten we niet doen alsof Google niet om de haverklap een beveiligingsprobleem heeft (en in het geval van YouTube een aanhoudend probleem dat nu al maanden wordt misbruikt en gemeld).
Dat gevoel heb ik ook, de tools van Google voelen meer af.
Misschien gebruiken we niet dezelfde Google apps? Google Ads is met afstand de app met de meest chaotische en onnodig complexe interface ooit. Daar blijft het niet bij. Om er nog een paar schepjes bovenop te doen, zijn de gebruikte begrippen, ook in vertalingen, vaak raadselachtig en uniek voor Google dus nergens mee te vergelijken, oftewel je moet vaak maar raden wat er bedoeld wordt. Daarnaast is de opzet en interface voortdurend aan verandering onderhevig en lopen de support-pagina's vaak minstens een versie achter op de actuele versie. Ook het koppelen van accounts en beheer is een terugkerend drama. Het is altijd weer een verrassing waar je nu weer tegenaan loopt en of het een beperking is of iets wat gewoon niet werkt. Echt, als ik ergens gefrustreerd van wordt en dagen mee vergooid heb, is het wel de applicaties van Google.
En dan te bedenken dat Google Ads de kurk is waar het concern op drijft...
Dat denk ik dan.
Ik gebruik de cli tools en natuurlijk de online workspace. Waarbij ik vrijwel over de hele linie zie dat bij Google meer af is. Ik vermoed dat dit komt doordat Microsoft veel meer bezig met features toe te voegen (CIO lijstjes pleasen) en Google het KISS houdt. Vergelijk Teams maar eens met Meet, of Sheets met Excel.
Moet je eens Google Analytics 4 of Google Looker Studio gebruiken. Dan denk je er wel anders over ;)
Met het programmeerwerk was niets mis. Het probleem zat in de instellingen.
Je kan de meest veilige kluis ter wereld hebben, maar wanneer je vergeet deze op slot te doen, kan iedereen bij de inhoud.
Ik doel erop dat die setting helemaal niet zou horen te bestaan, binnen hetzelfde account.
Daar zou een scheiding moeten zijn tussen een publisher en een editor.
Ik zou het toch eens een nieuwe kans geven. Je zal versteld staan.
Maakt duckduckgo geen gebruik van Bing?

Edit:
Ja dus:
DuckDuckGo's results are a compilation of "over 400" sources according to itself, including Bing, Yahoo! Search BOSS, Wolfram Alpha, Yandex, and its own web crawler (the DuckDuckBot); but none from Google

[Reactie gewijzigd door fm77 op 25 juli 2024 09:57]

Jazeker. Wel met eigen sausje.
Hier in Zuid-Amerika is Bing helemaal niet populair en/of bruikbaar. Veel te vaak komen de zoekresultaten met (zwaar) verouderde gegevens voor locaties alhier aanzetten. Google's resultaten zijn echter ook minder goed geworden in dit deel van de wereld.

Facebook, WhatsApp en Instagram zijn hier 'heer en meester' als het gaat om online bereikbaarheid. Het ligt er nogal aan waar je je bevind op deze aardkloot. Bing als geheel valt hier dus echt wel tegen. In de VS is Bing veel beter (duh!), misschien dat het ondertussen ook is verbeterd in (West-)Europa. Kan je echter verzekeren dat het in Zuid-Amerika triest is gesteld.
Toch wordt het meer gebruikt dan je denkt. :o Om bij Google te komen bijvoorbeeld. :+

Voor de volgers/wappies/wokers/samenzweerders: https://www.demorgen.be/t...le-pocht-google~b5431ad5/

[Reactie gewijzigd door beerse op 25 juli 2024 09:57]

Op dit item kan niet meer gereageerd worden.