Rejoignez-nous
High tech

La vulnérabilité de Bing a permis de modifier les résultats de recherche

Nicolas

Date de publication :

le

La vulnérabilité de Bing a permis de modifier les résultats de recherche

L’exploit a été corrigé, mais il reste troublant.

Un exploit de sécurité majeur permettant aux chercheurs de modifier les résultats de recherche Bing a été révélé cette semaine.

La vulnérabilité a été découverte en janvier par la société de recherche en cybersécurité Wiz et signalé au Microsoft Security Response Center (MSRC).

Dans un fil Twitter, le chercheur de Wiz, Hillai Ben-Sasson, a expliqué comment il avait pu pirater le système de gestion de contenu (CMS) de Bing. En se connectant à Azure, la plate-forme de cloud computing de Microsoft, il a découvert qu’il pouvait accorder à tous les utilisateurs l’accès aux applications internes de Microsoft. Il a ensuite accédé à une base de données des résultats de recherche de Bing. À partir de là, Ben-Sasson a compris qu’il pouvait en fait modifier ce qui apparaissait dans les résultats.

Les chercheurs de Wiz ont également découvert que Bing était vulnérable à une attaque de type Cross-Site Scripting (XSS) et ont découvert qu’ils avaient accès à des données sensibles d’Office 365, notamment des e-mails Outlook, des informations de calendrier et des messages Teams. MSRC a détaillé les mises à jour de sécurité et les recommandations partagées pour les administrateurs et les développeurs Azure AD dans son article de blog.

Le but de l’expérience des chercheurs était de montrer que c’était possible et de partager ses découvertes avec Microsoft. Mais cela montre à quel point des pirates malveillants auraient pu faire des ravages pour Bing.

« Un acteur malveillant avec le même accès aurait pu détourner les résultats de recherche les plus populaires avec la même charge utile et divulguer des données sensibles à des millions d’utilisateurs », a déclaré le blog Wiz. Heureusement, il a été attrapé avant que des dégâts majeurs ne soient causés.

Microsoft a confirmé qu’il a été corrigé le 29 mars. Wiz a reçu une « prime de bogue » de 40 000 $ pour avoir signalé la vulnérabilité, qu’il prévoit de donner à un destinataire non spécifié.

Nicolas est journaliste depuis 2014, mais avant tout passionné des jeux vidéo depuis sa naissance, et des nouvelles technologies depuis son adolescence.

Cliquer pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *