A inizio anno gli esperti di sicurezza hanno identificato una pericolosa falla in Bing di Microsoft, derivante da una configurazione errata di Azure, la quale ha permesso di modificare i risultati di ricerca globali e di accedere alle informazioni private di altri utenti da Teams, Outlook e Office 365 senza autorizzazione.
Bing: scovata la falla “Bing Bang”
La falla, i cui dettagli sono stati diramati nelle ultime ore, è stata denominata “Bing Bang” e come anticipato è relativa al servizio di gestione delle identità e degli accessi di Azure Active Directory (AAD), tramite il quale qualunque utente Azure può manipolare migliaia di dati nel CMS di Bing Trivia, restituendo agli utenti risultati precedentemente impensabili o mai visti andando ad adoperare determinate query.
Da tenere tuttavia presente che la portata della vulnerabilità non si esaurisce qui, ma sono oltre 1.000 applicazioni e siti Wen sul cloud di Microsoft che presentano configurazioni errate simili, come nel caso di Mag News, PoliCheck, Cosmos e altri.
“Un potenziale aggressore avrebbe potuto influenzare i risultati di ricerca di Bing e compromettere le e-mail di Microsoft 365 e i dati di milioni di persone”, ha dichiarato Ami Luttwak, chief technology officer di Wiz, al Wall Street Journal. “Potrebbe trattarsi di uno Stato nazionale che cerca di influenzare l’opinione pubblica o di un hacker con motivazioni finanziarie”, ha aggiunto.
Microsoft è stata avvisata in merio alla falla il 31 gennaio dell’anno corrente e il 20 marzo ha provveduto a risolvere completamente la vulnerabilità. I ricercatori non hanno trovato alcuna prova che sia stata sfruttata in precedenza.