Ocak ayında bir güvenlik araştırmacısı, yanlış yapılandırılmış bir Microsoft online servisini kullanarak Bing arama sonuçlarını büsbütün değiştirebilecek, daha sonra “BingBang” olarak isimlendirdikleri bir güvenlik açığı tespit etti. Ayrıyeten ilgili zafiyet kullanıcıların oturumlarına Office 365 hesaplarını çalmaya yarayan birtakım XSS taarruzları da yapılabilmesine imkan tanıdı.
Wiz Research tarafından yürütülen çalışmada, araştırmacılar Azure App Services ve Azure Functions servislerinde farklı bir yapılandırma yer aldığını keşfetti. Bunlar üzerinden bir “app” oluşturduğunuzda rastgele bir Microsoft kullanıcısının da bu uygulamalarda oturum açmasına müsaade verecek formda yapılandırılabiliyordu. Geliştiriciler bu müsaadeleri yanlış yahut biraz daha gevşek formda bıraktığı takdirde istenmeyen sonuçların doğması kelam konusu hale geliyordu.
Analistler araştırmasına devam ederken, bütün Microsoft kullanıcılarının oturum açabildiği “Bing Trivia” isminde bir içerik idare sistemi (CMS) uygulaması buldu. Keşfettikleri uygulamanın direkt “Bing.com”a bağlı olduğunu gördüklerinde, arama sonuçlarını istedikleri üzere manipüle edip edemeyeceklerini denemek istediler ve başarılı oldular. Aşağıdaki görüntüden bütün süreci izleyebilirsiniz.
Daha sonra araştırmacılar işi daha farklı bir düzeye taşıyıp, Bing arama sonuçlarına rastgele bir payload (zararlı kod) enjekte edip edemeyeceklerini denediler. Birebir içerik idare arayüzünü kullanarak Bing.com’da bir XSS (Cross-Site-Scripting) saldırısı gerçekleştirebileceklerini gördüler. Yaptıkları deneyde bu halde kendi Office 365 hesaplarının tokenlarını çalmayı ve tam yetkiyle erişim sağlamayı başardılar.
Microsoft yanlış yapılandırmanın sırf az sayıda uygulama için geçerli olduğunu ve çabucak düzelttiğini söyleyerek sorunu küçümsese de, tesir bakımından Bing.com’un idare panelinin ele geçirilmesinden ve arama sonuçlarının istendiği üzere değiştirilebilmesi göz önüne alınınca bu epey dehşetli gözüküyor. Microsoft ayrıyeten açıkları kapattıktan sonra kendilerine bildirdikleri için Wiz Research takımına teşekkür edip 40.000 dolarlık bir ödül verdi.
