Une faille de sécurité affectant Microsoft Bing a été découverte. Elle permettait de trafiquer les résultats de recherche et de siphonner les données des internautes, dont les mails échangés sur Outlook et les messages Teams…
Les chercheurs en sécurité informatique de Wiz ont découvert une faille affectant Bing, le moteur de recherche de Microsoft. La brèche a été provoquée par une mauvaise configuration des applications sur la plate-forme cloud du groupe, Azure. En résumé, ce dysfonctionnement permettait à n’importe quel internaute de se connecter à une des apps affectées pour y apporter des changements ou collecter des données.
D’après Microsoft, la faille n’a touché qu’un petit nombre d’applications. Seules les applications utilisant Azure Active Directory, le service de gestion des identités et des accès, étaient concernées par le dysfonctionnement, explique le groupe au Wall Street Journal.
« L’une de ces applications est un système de gestion de contenu (CMS) qui alimente Bing.com », explique Wiz dans un rapport détaillé.
À lire aussi : Microsoft dévoile le secret de la version Bing de ChatGPT
Trafic des résultats Bing
En exploitant la faille, les chercheurs de Wiz ont accédé à une plate-forme utilisée par les employés de Microsoft pour mettre en place des quiz sur Bing. Pour y accéder, il suffisait d’avoir un compte Microsoft.
Les experts new-yorkais, spécialisés dans la sécurité du cloud, sont ensuite parvenus à modifier les résultats de recherche qui apparaissent dans Bing. Par exemple, ils ont changé le premier élément apparaissant en réponse à la requête « meilleure bande-son ». La brèche a aussi permis de modifier la page d’accueil du moteur de recherche.
Vol de données
Surtout, la vulnérabilité permettait à un attaquant de s’emparer de données sensibles concernant les utilisateurs de Microsoft Bing. Les chercheurs pouvaient en effet collecter les e-mails sur Outlook, les documents sur OneDrive, les calendriers, les messages sur Teams et toutes les autres données potentiellement stockées sur Microsoft 365, la plate-forme cloud de l’éditeur. Toutes ces données pouvaient être consultées par un attaquant potentiel. C’est évidemment très préoccupant, d’autant que « de nombreuses organisations utilisent Office 365 pour stocker leurs données professionnelles les plus sensibles », souligne Wiz.
Rien n’indique qu’un hacker ait exploité la brèche, rassure Wiz. Néanmoins, il reste théoriquement possible que la faille ait été exploitée par des attaquants par le passé, sans laisser la moindre trace. Les chercheurs révèlent que 1 000 autres sites Web sur le cloud de Microsoft souffraient du même dysfonctionnement. La plupart des pages appartiennent à des clients Azure, mais Wiz a « trouvé plusieurs autres applications internes de Microsoft avec des erreurs de configuration similaires ».
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) March 29, 2023
Alerté par Wiz, qui a touché une prime de 40 000 dollars pour sa découverte, Microsoft a corrigé la faille le 2 février 2023, quelques jours avant l’annonce du nouveau Bing dopé avec l’intelligence artificielle de ChatGPT. La firme a « corrigé les applications vulnérables et introduit des modifications » pour améliorer la sécurité, explique Hillai Ben-Sasson, chercheur chez Wiz, dans un thread publié sur Twitter.
Source :
WSJ