آسیب‌پذیری بینگ اجازه دسترسی به اطلاعات کاربر و تغییر نتایج جستجو را می‌داد

یک پژوهشگر امنیتی نسبت به آسیب‌پذیری بینگ هشدار داد. به گفته وی، از طریق آسیب‌پذیری در سرویس ابری مایکروسافت می‌توان نتایج جست‌و‌جوی بینگ را تغییر داد.

در اوایل سال 2023 بود که آسیب‌پذیری جدیدی به نام «بینگ‌بنگ» کشف شد که میلیون‌ها حساب کاربری سرویس مایکروسافت ۳۶۵ (سرویسی بزرگ شامل انواع ابزارها) را به خطر می‌انداخت.

پژوهشگران امنیتی گفتند سرویس ابری آژور نقصی امنیتی دارد که ازطریق آن می‌توان به CMS (سیستم مدیریت محتوا) موتور جست‌و‌جوی بینگ دسترسی پیدا کرد و اطلاعات محرمانه‌ی اپلیکیشن‌های مایکروسافت همچون تیمز، اوت‌لوک و آفیس را جمع آوری کرد.

بیشتر بخوانید: اضافه شدن تبلیغات به چت بات بینگ ؛ شرایط نمایش تبلیغات در بینگ جدید چیست؟

آسیب‌پذیری بینگ

هیلای بن‌ساسن، یکی از پژوهشگران امنیتی شرکت Wiz، در توییتی جدید توضیح داده که او و اعضای تیمش چگونه نتایج جست‌و‌جوی بینگ را دست‌کاری کرده‌ و کنترل «میلیون‌ها حساب آفیس ۳۶۵» را در اختیار گرفته‌اند.

بر اساس گزارش ویندوز سنترال، پژوهشگران شرکت Wiz متوجه وجود یک بردار حمله (اتک‌وکتور) در Azure Active Directory شدند که هکرها از لحاظ تئوری می‌توانستند با اکسپلویت‌کردن آن، به اپلیکیشن‌های مایکروسافت دسترسی پیدا کنند.

تقریبا ۲۵ درصد از سرویس‌های مبتنی‌بر معماری اجاره‌ی چندگانه (Multi-Tenancy) در برابر این نقص امنیتی، آسیب‌پذیر بودند. در معماری اجاره‌ی چندگانه چندین نمونه از اپلیکیشنی مشخص روی یک سرور اجرا می‌شوند تا بتوان از طریق آن سرور به چندین مستأجر (Tenant) خدمت‌دهی کرد.

آسیب‌پذیری بینگ‌بنگ باعث می‌شد شماری از اپلیکیشن‌های مایکروسافت در معرض خطر حمله‌ی هکری باشند. پژوهشگران شرکت Wiz موفق شدند نتایج جست‌و‌جوی بینگ را اصلاح کنند و سراغ حملات XSS به کاربران بینگ بروند. اگر حملات این‌چنینی موفقیت‌آمیز باشند، هکر از لحاظ تئوری می‌تواند به ایمیل‌های اوت‌لوک و اسناد شیرپوینت دسترسی پیدا کند. فایل‌های وان‌درایو، رویدادهای تقویم اوت‌لوک و پیام‌های سرویس تیمز نیز ممکن است به دست هکرها بیفتند.

مدیر ارشد فناوری شرکت Wiz در گفت‌و‌گو با نشریه‌ی وال‌استریت ژورنال اعلام کرد: «هکر احتمالی می‌توانست روی نتایج جست‌و‌جوی بینگ اثر بگذارد و ایمیل‌های مایکروسافت ۳۶۵ و داده‌های میلیون‌ها نفر را به خطر بیندازد.»

پژوهشگران Wiz به مایکروسافت خبر دادند و این شرکت آسیب‌پذیری بینگ را سریعاً برطرف کرد. این شرکت تحقیقاتی حدوداً یک ماه پیش جزئیات آسیب‌پذیری دیگری را در اختیار مایکروسافت قرار داد. ردموندی‌ها در تاریخ ۲۰ مارس ۲۰۲۳ (۱ فروردین ۱۴۰۱) به Wiz خبر دادند که تمامی مشکلات رفع شده است.

نسخه‌ی جدید بینگ که از هوش مصنوعی استفاده می‌کند، تنها چند روز پس از یکی از این آسیب‌پذیری‌های مهم رونمایی شد. اگر آسیب‌پذیری رفع نمی‌شد، ممکن بود تعداد زیادی از کاربرانی که به‌دلیل قابلیت‌های جدید بینگ به سمت این موتور جست‌و‌جو هجوم برده بودند در معرض خطر قرار بگیرند. چت‌بات بینگ به این موتور جست‌و‌جو کمک کرد که برای اولین بار به بیش از ۱۰۰ میلیون کاربر فعال روزانه دست پیدا کند.

آسیب‌پذیری بینگ‌بنگ سال‌ها در موتور جست‌و‌جوی مایکروسافت وجود داشت، با این‌حال آن‌طور که پژوهشگران می‌گویند، هیچ مدرکی وجود ندارد که نشان دهد هکرها از این آسیب‌پذیری سوءاستفاده کرده باشند.

بیشتر بخوانید:

• مایکروسافت از دستیار امنیت سایبری مبتنی بر هوش مصنوعی GPT-4 رونمایی کرد
• قطع دسترسی چت بات های رقیب به اطلاعات چت بات بینگ
• ابزار هوش مصنوعی ساخت تصویر رسما به چت بات بینگ افزوده شد

دیدگاه شما درباره‌ی آسیب‌پذیری بینگ چیست؟ دیدگاه خود را در بخش کامنت ها با تکراتو در میان بگذارید و اخبار فناوری را با ما دنبال کنید.