Ocak ayında bir güvenlik araştırmacısı, yanlış yapılandırılmış bir Microsoft online servisini kullanarak Bing arama sonuçlarını tamamen değiştirebilecek, daha sonra “BingBang” olarak adlandırdıkları bir güvenlik açığı tespit etti. Ayrıca ilgili zafiyet kullanıcıların oturumlarına Office 365 hesaplarını çalmaya yarayan bazı XSS saldırıları da yapılabilmesine imkan tanıdı.
Wiz Research tarafından yürütülen çalışmada, araştırmacılar Azure App Services ve Azure Functions servislerinde farklı bir yapılandırma yer aldığını keşfetti. Bunlar üzerinden bir “app” oluşturduğunuzda herhangi bir Microsoft kullanıcısının da bu uygulamalarda oturum açmasına izin verecek şekilde yapılandırılabiliyordu. Geliştiriciler bu izinleri yanlış veya biraz daha gevşek şekilde bıraktığı takdirde istenmeyen sonuçların doğması söz konusu hale geliyordu.
Analistler araştırmasına devam ederken, bütün Microsoft kullanıcılarının oturum açabildiği “Bing Trivia” adında bir içerik yönetim sistemi (CMS) uygulaması buldu. Keşfettikleri uygulamanın doğrudan “Bing.com”a bağlı olduğunu gördüklerinde, arama sonuçlarını istedikleri gibi manipüle edip edemeyeceklerini denemek istediler ve başarılı oldular. Aşağıdaki videodan bütün süreci izleyebilirsiniz.
Daha sonra araştırmacılar işi daha farklı bir seviyeye taşıyıp, Bing arama sonuçlarına herhangi bir payload (zararlı kod) enjekte edip edemeyeceklerini denediler. Aynı içerik yönetim arayüzünü kullanarak Bing.com’da bir XSS (Cross-Site-Scripting) saldırısı gerçekleştirebileceklerini gördüler. Yaptıkları deneyde bu şekilde kendi Office 365 hesaplarının tokenlarını çalmayı ve tam yetkiyle erişim sağlamayı başardılar.
Microsoft yanlış yapılandırmanın yalnızca az sayıda uygulama için geçerli olduğunu ve hemen düzelttiğini söyleyerek sorunu küçümsese de, etki bakımından Bing.com’un yönetim panelinin ele geçirilmesinden ve arama sonuçlarının istendiği gibi değiştirilebilmesi göz önüne alınınca bu oldukça korkunç gözüküyor. Microsoft ayrıca açıkları kapattıktan sonra kendilerine bildirdikleri için Wiz Research ekibine teşekkür edip 40.000 dolarlık bir ödül verdi.
