Le vulnerabilità di sicurezza sono un problema costante per le piattaforme online, e recentemente è stata scoperta una vulnerabilità critica in Bing.com che ha messo in pericolo la sicurezza dei suoi utenti. Questa vulnerabilità, nota come “BingBang,” è stata causata da una configurazione errata di Azure Active Directory (AAD) che ha permesso agli attacchi di Cross-Site Scripting (XSS) di compromettere la piattaforma di ricerca di Microsoft[1][3].
La Vulnerabilità XSS
La vulnerabilità XSS è un tipo di attacco in cui un attaccante inietta codice malizioso in una pagina web, che viene poi eseguito dal browser dell’utente. In questo caso, i ricercatori di Wiz hanno scoperto che la piattaforma di Bing.com non eseguiva adeguatamente i controlli di confine sui dati forniti dagli utenti, rendendo possibile l’esecuzione di codice malizioso[2][3].
Modificare i Risultati di Ricerca
I ricercatori di Wiz hanno utilizzato questa vulnerabilità per modificare i risultati di ricerca di Bing.com. Hanno selezionato una parola chiave, “best soundtracks,” e hanno alterato il primo risultato, “Dune (2021),” con il loro film preferito, “Hackers (1995).” Questo ha dimostrato che potevano controllare i risultati di ricerca in modo arbitrario, permettendo a un attaccante malintenzionato di diffondere informazioni false e di eseguire campagne di phishing[1].
Compromettere i Credenziali di Office 365
Inoltre, i ricercatori hanno scoperto che potevano utilizzare la vulnerabilità XSS per compromettere le credenziali di Office 365 degli utenti di Bing. La integrazione tra Bing e Office 365 permette ai utenti di cercare i loro dati di Office 365 direttamente da Bing. Utilizzando questo collegamento, i ricercatori hanno creato un payload XSS che ha rubato i token di accesso di Office 365 degli utenti, permettendo loro di accedere ai dati privati degli utenti, come email, calendari, messaggi di Teams e documenti di SharePoint e OneDrive[1][3].
Rischi e Conseguenze
I rischi associati a questa vulnerabilità sono altissimi. Un attaccante malintenzionato potrebbe utilizzare questa vulnerabilità per:
- Diffondere Informazioni False: Modificare i risultati di ricerca per diffondere informazioni false e influenzare le decisioni degli utenti.
- Phishing e Impersonazione: Utilizzare la vulnerabilità XSS per creare campagne di phishing e impersonare altri siti web.
- Accedere ai Dati Privati: Rubare i token di accesso di Office 365 e accedere ai dati privati degli utenti, come email e documenti.
Suggerimenti e Consigli
Per evitare di cadere vittima di queste vulnerabilità, è importante seguire alcuni suggerimenti e consigli:
- Verificare le Configurazioni di AAD: Assicurarsi che le configurazioni di Azure Active Directory siano corrette e che le applicazioni multi-tenant siano validate correttamente.
- Utilizzare Single-Tenant Authentication: Se non è necessaria la multi-tenancy, utilizzare l’autenticazione single-tenant per ridurre i rischi.
- Monitorare i Log: Monitorare i log delle applicazioni per identificare eventuali attività non autorizzate.
- Eseguire Test di Sicurezza: Eseguire test di sicurezza regolarmente per identificare e correggere le vulnerabilità prima che vengano sfruttate dagli attaccanti.
- Formazione e Consapevolezza: Formare gli utenti sulla sicurezza online e sulla consapevolezza delle tecniche di phishing e di ingegneria sociale.
La vulnerabilità XSS in Bing.com è un esempio chiaro di come una configurazione errata di Azure Active Directory possa compromettere la sicurezza di una piattaforma online. È importante che le organizzazioni prendano misure proattive per prevenire queste vulnerabilità e proteggere i dati dei loro utenti. Seguendo i suggerimenti e i consigli forniti, è possibile ridurre significativamente i rischi associati a queste vulnerabilità e mantenere la sicurezza dei sistemi informatici.
Fonte: https://cybersecuritynews.com/bing-com-xss-vulnerability