微软的Bing搜索引擎有一个严重的缺陷在今年早些时候发现的。这个bug允许操纵搜索结果和其他敏感信息的访问从Bing用户的账户服务团队,前景,和Office 365。
今年1月,奇才安全研究人员找到了一个错误配置在微软的云计算平台Azure影响Bing,给应用程序任何Azure用户未经授权的访问。
在Azure错误配置
边缘报道,缺陷被发现在微软Azure的Active Directory (AAD)、身份和访问管理平台。由于平台的多租户的权利,开发人员必须验证Azure用户授权访问他们的应用程序。
配置错误普遍存在的模糊性在这个角色。根据奇才,25%的所有多租户项目缺乏足够的验证分析。
Bing琐事是一个这样的应用程序。人员能够访问一个内容管理系统(CMS), Bing.com给他们直接控制的实时搜索结果后,登录到应用程序使用自己的Azure凭证。
特别是,奇才指出,任何人访问Bing琐事应用页面可能修改,必应的搜索结果传播虚假信息或网络钓鱼链接。
暴露在错误
Outlook收件箱、日历、团队聊天,SharePoint文件和OneDrive文件夹的其他Office 365用户都确认为接触缺陷在Bing搜索后的工作区域。奇才证明它利用这个漏洞通过访问一个虚拟受害者的邮箱和阅读电子邮件。
许多微软云服务,包括杂志新闻,呼叫中心,PoliCheck,电力自动化博客,和宇宙,被发现是由于错误配置,允许攻击敏感。
奇才首席技术官Ami万博体育登录首页 Luttwak告诉《华尔街日报》攻击者可能影响Bing搜索结果和妥协数百万消费者的微软365封电子邮件和数据。政府正寻求可能影响公众舆论,或者黑客是出于经济利益。
在短暂的时间
是1月31日微软安全响应中心的关注,Bing的bug。根据Luttwak,微软发布了2月治疗的问题。
后,在2月25日,奇才剩下的脆弱的项目报告。3月20日,微软认证,所有报告问题已经解决。微软表示,更多的调整是为了减少未来配置错误的可能性。
引入人工智能(AI)以来的Bing聊天功能2月7日,Bing人气急剧上升,其每日活跃用户的数量最近穿越1亿年马克。
在一个报告让用户,Bing是世界上30最常访问的网站。有缺陷没有被纠正前几天,它可能蔓延的危险,交通便利安全利用数以百万计的人。
参见:微软Windows 11日更新:增加Bing人工智能聊天机器人最新任务栏按钮的变化