Des chercheurs en cybersécurité ont découvert une faille touchant Microsoft Bing qui permettait de prendre le contrôle de plusieurs fonctionnalités majeures du moteur de recherche, dont celle qui contribue à en modifier les résultats.
Découverte sur Microsoft Bing par les équipes cyber de Wiz, la vulnérabilité a été corrigée le 2 février dernier, quelques jours seulement avant l'annonce de l'intégration du robot conversationnel ChatGPT au moteur de recherche. Mais avant qu'elle soit colmatée, la faille était assez problématique en ce qu'elle aurait pu, exploitée par des individus malveillants, compromettre les données personnelles de millions d'utilisateurs de Bing.
Microsoft, à deux doigts du BingBang
Les chercheurs new-yorkais de Wiz ont détaillé une faille partie d'une mauvaise configuration d'Azure Active Directory (Azure AD ou AAD), le service de gestion des identités et des accès basé dans le cloud de Microsoft. On rappelle qu'Azure AD permet d'accéder à des plateformes comme Microsoft 365, le portail Azure mais aussi à de nombreuses autres applications hébergées dans le Cloud.
Cette faille exposait de fait les applications mal configurées à un accès non autorisé. En d'autres termes, n'importe qui pouvait se connecter à l'une des applications ou fonctionnalités concernées pour procéder à des modifications, ou à de la ponction de données.
L'une des applications touchées était un système de gestion de contenus (CMS) qui alimente Bing.com. Les chercheurs ont ainsi pu prendre la main sur plusieurs fonctionnalités du moteur, comme la modification des résultats de recherche, ou le vol de données d'identification Microsoft 365 de millions d'utilisateurs. La seule condition pour y parvenir ? Posséder un compte Microsoft.
Une faille qui ouvrait l'accès à de nombreuses applications de la galaxie Microsoft
La faille aurait pu avoir des conséquences en cascade, puisque mettre la main sur des identifiants Microsoft 365 ouvrait ensuite l'accès aux e-mails Outlook et aux documents privés des utilisateurs lésés. « L'exploitation de la vulnérabilité était simple et ne nécessitait pas une seule ligne de code », insistent les équipes de Wiz.
Sur la modification des résultats de recherche, les experts ont choisi la requête des « meilleures bandes sonores » et ont modifié, depuis le CMS, le premier résultat obtenu. Celle du film Dune, sorti en 2021, est donc devenue celle du film… Hackers, sorti en 1995. On notera au passage l'humour des chercheurs, dans le choix de ce film porté à l'écran par Jonny Lee Miller et Angelina Jolie, qui ont aussi pensé à changer la vignette.
Wiz a ensuite réussi à compromettre le jeton Office 365 de n'importe quel utilisateur de Bing et a pu, en collaborant avec Microsoft, accéder aux données 365 des utilisateurs, ce qui inclut Outlook, les calendriers, mais aussi les messages sur Teams, les documents SharePoint et les fichiers hébergés sur OneDrive, plateforme de stockage en ligne de l'entreprise. Ces tests se sont concentrés sur un chercheur de Wiz, et « aucun test n'a été effectué sur d'autres utilisateurs de Bing », rassure la société spécialisée.
Plus de peur que de mal donc pour une faille, depuis corrigée, qui aurait pu donner un accès royal aux informations et fichiers privés de millions et de millions d'utilisateurs de Bing, 27e site le plus visité au monde.
Source : Blog Wiz
