Microsoft parchea una vulnerabilidad en Bing que permitía alterar resultados de búsqueda

Bingestá en la mejor racha que ha tenido desde su lanzamiento en 2009 tras su integración con GPT-4, pero no todo son buenas noticias. Microsoft ha parcheado una grave vulnerabilidad que afectaba al buscador y permitía alterar los resultados que ofrecía y acceder a datos personales de los usuarios.

Hillai Ben-Sasson, investigador de la firma de ciberseguridad en la nube Wiz, descubrió la vulnerabilidad en enero, según informa The Wall Street Journal, y la reportó a Microsoft que esta semana ha publicado una actualización en su blog en la que informa de la corrección realizada y las medidas adicionales de seguridad tomadas.

Ben-Sasson, que ha recibido por parte de Microsoft una recompensa de 40.000 dólares por su aportación, ha explicado en una serie de publicaciones en Twitter que llegó a ella tras encontrar una configuración “extraña” en Azure, la plataforma de computación en la nube de Microsoft que usan muchos productos y servicios.

I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) March 29, 2023

Indagando, encontró una aplicación que usaba esa configuración y resultó ser Bing Trivia. A pesar de su nombre, este es el CMS (Content Management System o sistema gestor de contenido para una web) de Bing.com y desde el que se pueden controlar los resultados de búsqueda, como descubrió tras encontrar una sección que contenía una serie de palabras clave empleadas en búsquedas junto a los resultados que deben aparecer. Comprobó que podía modificarlos y poner lo que él quisiera cambiando el resultado de la búsqueda “mejores bandas sonoras” y poniendo la película “Hackers” en lugar de “Dune”. Inmediatamente apareció como la primera al buscar la información en Bing.

I tested this theory by selecting the “best soundtracks” keyword and switching the first result from “Dune (2021)” to my personal favorite, “Hackers (1995)”. I was surprised to see this result immediately appear on https://t.co/xQvddyiPr9! pic.twitter.com/DE0uohmwIP

— Hillai Ben-Sasson (@hillai) March 29, 2023

También comprobó que era vulnerable a los ataques de tipo XSS y que por este método se podía acceder a datos personales de los usuarios de Office365 que ingresaran su identificador en Bing. La información en riesgo incluía correos de Outlook, Calendario, mensajes de Teams y archivos almacenados en OneDrive, entre otros elementos.

Según Ami Luttwak, jefe de tecnología en Wiz, una vulnerabilidad de este tipo podría haber sido aprovechada por “un estado-nación tratando de influir en la opinión pública o un hacker motivado financieramente”.

Tras recibir el aviso de Ben-Sasson, Microsoft explica en su blog que “corrigió la configuración incorrecta, agregó verificaciones de autorización adicionales para abordar el problema y confirmó que no se había producido ningún acceso no deseado”.