محرك بحث Bing والملايين من حسابات Microsoft 365 كانت عرضة للهاكرز
بسبب ثغرة في نظام الحوسبة السحابي Azure
تم اكتشاف ثغرة أمنية خطرة في وقت سابق من هذا العام تُعرّض ملايين حسابات Microsoft 365 للخطر.
حيث اكتشف باحثو الأمن في Wiz ثغرة في نظام الحوسبة السحابية الخاص بشركة مايكروسوفت Azure، بحيث يمكن استغلالها للوصول إلى نظام إدارة المحتوى في Bing وجمع معلومات خاصة من تطبيقات Microsoft، مثل Teams و Outlook و Office Suite.
كما وسمحت الثغرة للمستخدمين بتغيير نتائج البحث والوصول إلى المعلومات الخاصة لمستخدمي Bing الآخرين من أمثال Teams و Outlook و Office 365.
وقد تم الكشف عن هذه الثغرة الأمنية في خدمة إدارة الوصول والهوية Azure Active Directory (AAD).
كانت العديد من التطبيقات في خطر بسبب هذه الثغرة، وكان باحثو Wiz قادرين على تعديل نتائج بحث Bing وإطلاق هجمات XSS عالية التأثير على مستخدمي Bing.
وسلّط Wiz الضوء على أن أي شخص وصل إلى صفحة تطبيق Bing Trivia ربما يكون قد تلاعب بنتائج بحث Bing لإطلاق حملات معلومات مضللة أو تصيد احتيالي.
وكان ما يقرب من 25% من التطبيقات متعددة المستأجرين عرضة للخطر، وفقًا لـ Wiz.
تم اكتشاف أكثر من 1000 تطبيق وموقع على السحابة من Microsoft مع عمليات استغلال خاطئة مماثلة، بما في ذلك Mag News و Contact Center و PoliCheck و Power Automate Blog و Cosmos.
كما كشف تحقيق في قسم Bing’s Work أيضًا أنه يمكن استخدام الاستغلال للوصول إلى بيانات Office 365 للمستخدمين الآخرين، وكشف رسائل البريد الإلكتروني والتقويمات ورسائل Teams ومستندات SharePoint وملفات OneDrive في Outlook.
وقام الباحث Hillai Ben-Sasson، باحث الأمن السحابي في Wiz، بتوضيح كيفية تمكنهم من تغيير نتائج بحث Bing و “الاستيلاء على ملايين حسابات Office 365”.
وقال آمي لوتواك، كبير مسؤولي التكنولوجيا في Wiz لصحيفة وول ستريت جورنال: “كان من الممكن أن يكون مهاجم محتمل قد أثر على نتائج بحث Bing وأدى إلى اختراق رسائل البريد الإلكتروني وبيانات Microsoft 365 لملايين الأشخاص، ربما كانت دولة قومية تحاول التأثير على الرأي العام أو متسللًا ذا دوافع مالية”.
وقد تم الإبلاغ عن ثغرة Bing إلى مركز الاستجابة الأمنية التابع لشركة Microsoft في 31 يناير/كانون الثاني.
قامت الشركة بإصلاح المشكلة في الثاني من فبراير/شباط، ثم قامت Wiz لاحقًا بوضع علامة على التطبيقات الأخرى المعرضة للخطر في 25 فبراير، لتؤكد الشركة أن جميع المشكلات المبلغ عنها قد تم إصلاحها في 20 مارس.
قالت Microsoft أيضًا أن الشركة أجرت تغييرات إضافية لتقليل مخاطر التهيئة الخاطئة في المستقبل.
بطريقة ما كان توقيت الإبلاغ عن الاستغلال وإصلاحه نعمة لمايكروسوفت.
حيث تم الإبلاغ عن الثغرة الأمنية في 31 يناير/كانون الثاني 2023 وتم إصلاحها بعد يومين في 2 فبراير 2023.
وأعلنت مايكروسوفت عن Bing الجديد في 7 فبراير/شباط 2023، فلو تم ترك الثغرة الأمنية دون إصلاح عند تشغيل محرك البحث الجديد في المعاينة، فإن احتمال استغلال الثغرة أعلى من ذلك بكثير.
في حين أنه كان من الممكن استغلال الثغرة الأمنية المبلغ عنها لسنوات وفقًا لـ Wiz، أوضحت الشركة أنه لا يوجد دليل على أنه تم استغلالها.
