Microsoft soluciona el fallo de seguridad ‘BingBang’ que afectaba a Bing
Una peligrosa vulnerabilidad
Bing está ganando nuevos usuarios a una velocidad endiablada. Y gran parte del mérito se lo lleva la integraión con GPT4, la IA presentada por Microsoft y que ha revolucionado a todo tipo de sectores.
Pero no es oro todo lo que reluce. Sin ir más lejos, hace poco anunciamos que muy pronto la IA de Bing contará con publicidad. Además, Microsoft sufrió una peligrosa vulnerabilidad que ha afectado a su buscador.
Por suerte, y como informan desde el blog oficial de la compañía americana, parece que Microsoft ha conseguido parchear esta grave vulnerabilidad que afectaba a Bing, permitiendo cambiar los resultados de búsqueda. ¿Lo más grave? Que BingBang también permitía acceder a información personal de los usuarios.
BingBang ya no es un problema para el buscador de Microsoft
Todo viene de un investigador de la empresa de seguridad Wiz, Hillai Ben-Sasson, quién descubrió esta peligrosa vulnerabilidad en enero. Evidentemente, no tardó en avisar a Microsoft, que finalmente acaba de publicar una actualiazción en el blog oficial de la compañía en el que anuncia de la corrección realizada y las medidas adicionales de seguridad tomadas.
“Microsoft ha solucionado un error de configuración de autorización para aplicaciones multi-tenant que utilizan Azure AD, descubierto inicialmente por Wiz, e informado a Microsoft, que afectó a un pequeño número de nuestras aplicaciones internas. La configuración errónea permitía a partes externas leer y escribir en las aplicaciones afectadas.” Indica la compañía con sede en Redmond.
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
— Hillai Ben-Sasson (@hillai) March 29, 2023
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs
Además, el investigador que ha descubierto esta vulnerabilidad se ha llevado una recompensa por valor de 40.000 dólares por parte de Microsoft, que agradece su ayuda a detectar y solucionar dicho problema.
Ben-Sasson ha explicado con detalle el fallo detectado en Bing y que permitía acceder al CMS del buscador para manipular los resultados de búsqueda. El problema es que, además descambiar las palabras claves de búsquedas relacionadas para cambiar todo tipo de resultados de búsqueda.
Lo peor de todo es que este investigador de seguridad descubrió que el fallo hacía que Bing fuera vulnerable a los ataques de tipo XSS y que por este método se podía acceder a datos personales de los usuarios de Office365 que ingresaran su identificador en Bing.
De esta manera, pudo acceder a “correos de Outlook, Calendario, mensajes de Teams y archivos almacenados en OneDrive, entre otros elementos.” Sin duda, un peligro para la seguridad.
Según Ami Luttwak, jefe de tecnología en Wiz, una vulnerabilidad de este tipo podría haber sido aprovechada por “un estado-nación tratando de influir en la opinión pública o un hacker motivado financieramente”.
