Han robado millones de cuentas de Office usando un agujero en Bing

El método para llevar a cabo esta vulnerabilidad afortunadamente ha sido descubierto por un investigador de seguridad y no un ciberdelincuente. El método para hacerse con el control de millones de cuentas de Office 365 fue reportado al Centro de respuestas de seguridad de Microsoft, ya se parcheó y por eso se comparte el modus operandi de este agujero de seguridad.

Hackean los resultados de Bing

Hillai Ben-Sasson, un investigador de Wiz Research, consiguió modificar a su antojo los resultados de búsqueda que devuelve Bing, un exploit que ha denominado BingBang. Para ello, consiguió hackear un panel de administración de Bing que dio acceso a más datos de los que se podría pensar.

El primer paso fue detectar una configuración extraña en Azure. Una sola casilla de verificación es todo lo que separa a una aplicación de convertirse en «multiusuario», lo que, de forma predeterminada, permite que todos los usuarios inicien sesión.

Tras conseguir esto, se encontró una aplicación de Microsoft configurada de esta manera y se inició sesión. Al usuario de Ben-Sasson se le otorgó acceso inmediato a una página CMS llamada «Bing Trivia», que controla más de lo que aparenta, incluso resultados de búsqueda. Como el investigador encontró una sección que contenía algunas palabras clave y los resultados de búsqueda correspondientes, se planteó la pregunta: ¿podría esta aplicación modificar los resultados de búsqueda Bing?

Efectivamente, así era. Se probó dicha teoría modificando los resultados de búsqueda para «mejores bandas sonoras» y cambiando el primer resultado de «Dune (2021)» a «Hackers (1995)», con el cambio apareciendo instantáneamente en Bing.

Se accedió a datos de cuentas de Office 365

Además del peligro que puede suponer manipular intencionalmente los resultados de búsqueda, se decidió probar los límites de esta vulnerabilidad y probar la viabilidad de hacer un secuencia de comandos en sitios cruzados o Cross-site scripting (XSS por sus siglas en idioma inglés), una vulnerabilidad informática o agujero de seguridad típico de las aplicaciones Web, que puede permitir a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar.

Para ello, se agregó una carga útil inofensiva al nuevo resultado de búsqueda. Tras actualizar la página, dicha carga útil se ejecutó con éxito. Rápidamente, Ben-Sasson revertió los cambios e informó de todo a Microsoft, pero una pregunta seguía en su mente: ¿qué se puede hacer con este XSS?

Hillai Ben-Sasson

@hillai

I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️ https://t.co/9pydWvHhJs

29 de marzo, 2023 • 20:33

16.3K

582

Al inspeccionar las solicitudes de Bing, notó que se usaba un extremo para las comunicaciones de Office 365. Resulta que Bing puede emitir tokens de Office para cualquier usuario que haya iniciado sesión. Diseñó una carga útil XSS utilizando esta funcionalidad y funcionó.

Las posibilidades de esta carga útil que se podía inyectar en millones de cuentas de Office 365 incluía la siguiente información personal asociada a tu cuenta de Microsoft: correos electrónicos, calendarios, mensajes de Teams, documentos de SharePoint, archivos de OneDrive, etc. Y todo aplicable a cualquier usuario de Bing.

El Centro de respuestas de seguridad de Microsoft respondió rápidamente a este reporte de seguridad, solucionó las aplicaciones vulnerables e introdujo algunos cambios en la guía y el producto del panel de administración de Azure para ayudar a los clientes a mitigar este problema. La vulnerabilidad fue de tal magnitud que incluso se otorgó una recompensa de 40.000 dólares, que los descubridores decidieron donar.