BALICITIZEN

Ikuti perkembangan terkini Indonesia di lapangan dengan berita berbasis fakta PosPapusa, cuplikan video eksklusif, foto, dan peta terbaru.

Kerentanan di Bing memungkinkan manipulasi hasil pencarian – komputer – berita

Cacat dalam konfigurasi Azure memungkinkan setiap pengguna untuk masuk ke sistem manajemen konten yang digunakan Microsoft untuk mengoperasikan Bing. Mereka kemudian dapat memodifikasi hasil pencarian dan bahkan memasukkan muatan untuk meretas akun pengguna.

Peneliti menyebutnya infus ping bang. Ini adalah kesalahan konfigurasi Azure Active Directory. Memilih opsi yang salah di backend untuk mengizinkan akses ke pengguna di direktori mereka sendiri akan memberikan akses kepada siapa saja yang memiliki akun Azure. Ini ternyata terjadi, misalnya, dengan aplikasi Bing Trivia, yang digunakan Microsoft untuk mengelola hasil pencarian trivia.

Ternyata hasil pencarian dapat dimanipulasi di carousel di bagian atas layar. Peneliti juga dapat memasukkan payload di dalamnya untuk mencegat token dari pengguna yang masuk. Setiap pengguna yang mengkliknya dapat memberi penyerang akses ke semua aplikasi Microsoft, seperti email Outlook dan Sharepoint.

Para peneliti memberi tahu Microsoft pada 31 Januari. Kebocoran ditutup pada 2 Februari. Para peneliti kemudian menunggu semua platform Azure di mana setiap pengguna dapat masuk untuk menutup kebocoran sebelum mereka melakukannya Informasi tentang BingBang Keluar.