Исследователи компании Wiz Research обнаружили опасную уязвимость поисковой системы Bing от Microsoft. Точнее говоря, проблема коренилась в ошибочных настройках нескольких приложений, воспользовавшись которыми злоумышленники могли манипулировать поисковиком и получать контроль над учетными записями пользователей. Речь идет о сервисах Azure App Services и Azure Functions: неверные настройки при регистрации новых приложений открывают доступ к ним абсолютно всем желающим. При этом как минимум 25% всех приложений, исследованных специалистами Wiz Research были настроены неверно.

Еще прискорбнее то, что часть этих приложений принадлежала самой корпорации Microsoft – то есть, ее сотрудники тоже оказались не в состоянии правильно настроить собственный продукт. Особое внимание исследователей привлекло приложение Bing Trivia: они обнаружили, что через него могут выйти непосредственно на поисковый сервис и в режиме реального времени подменять данные в выкладке результатов поиска.

И даже это еще не все. Все тот же несанкционированный доступ к приложениям сделал возможным и осуществление атак по типу межсайтового скриптинга (XSS). В результате ученые продемонстрировали возможность установления контроля над учетными записями пользователей Bing, которые используют Office 365. Это открывало доступ к их сообщениям электронной почты, данным календаря, сообщениям сервиса Teams, документам SharePoint и файлам OneDrive.

К счастью, выявив все эти проблемы, специалисты Wiz Research незамедлительно сообщили о них корпорации Microsoft. Это произошло 31 января, а 28 марта уязвимость была исправлена. Компания Wiz Research получила от Microsoft премию в сумме 40 тысяч долларов.