Falha no Bing permitia manipular resultados e roubar dados de usuários
Por Felipe Demartini • Editado por Claudio Yuge |
Uma falha grave foi divulgada neste final de semana no Bing, o motor de buscas da Microsoft. A partir de sistemas mal configurados baseados na nuvem Azure, da empresa, criminosos poderiam manipular resultados de pesquisa e, ao mesmo tempo, embutir códigos maliciosos em tais elementos, possibilitando o roubo de dados de usuários.
- Anúncios no Google e técnicas de SEO já entram em currículo cibercriminoso
- ChatGPT deu ao Bing um baita impulso na batalha contra o Google
A brecha foi batizada de BingBang pelo pesquisador responsável pela revelação, Hillai Ben-Sasson, da empresa de cibersegurança Wiz. De acordo com ele, a brecha não apenas serviria para disseminar desinformação e sites fraudulentos, a partir de resultados aparentemente legítimos, como também representava um alto risco para os usuários corporativos de plataformas como Office, Azure e outras gerenciadas pela Microsoft.
De acordo com o especialista, 25% dos aplicativos que rodam na nuvem da empresa estão suscetíveis à brecha pela má configuração. O que possibilitou o BingBang, entretanto, foi o fato de um app da própria Microsoft, o Bing Trivia, estar entre eles. Ele serve para exibir um carrossel acima da própria busca, facilitando a visualização de resultados com imagens e informações básicas dos itens — qualquer pessoa poderia ter acesso ao painel de gerenciamento deste recurso, bem como outros itens do tipo.
Para demonstrar a exploração, o especialista manipulou uma busca pelas melhores trilhas sonoras do cinema, substituindo o primeiro resultado, Duna, pelo longa Hackers, de 1995. Um código malicioso também foi implementado nesse mesmo resultado, que quando clicado, poderia coletar sessões logadas em serviços da Microsoft.
Tais informações poderiam ser usadas, então, para acesso a informações hospedadas na nuvem e sistemas vinculados a atividades pessoais ou de trabalho. Entre os dados que ficariam disponíveis estão e-mails, arquivos do Office, entradas de calendário e aqueles hospedados no OneDrive, tudo a partir de uma vulnerabilidade considerada simples pelo time da Wiz.
Felizmente, não existem indícios de utilização maliciosa da vulnerabilidade, que já foi fechada pelos times da Microsoft. Em agradecimento, o time de especialistas em segurança recebeu uma recompensa de US$ 40 mil, cerca de R$ 202 mil, como parte do programa de bug bounty da companhia.