أصلحت شركة مايكروسوفت ثغرة بالغة الخطورة في (بينج) Bing كانت تسمح للمستخدمين بتغيير نتائج البحث، والوصول إلى المعلومات الخاصة لمستخدمي محرك البحث الآخرين الموجودة في تطبيقات، مثل: (تيمز) Teams، و(آوتلوك) Outlook، و(أوفيس 365) Office 365.
واكتشف باحثو شركة (ويز) Wiz في شهر كانون الثاني/ يناير الماضي خطأً في تكوين (أزور) Azure يسمح باختراق (بينج)، كما يسمح لأي مستخدم لمنصة الحوسبة السحابية التابعة لمايكروسوفت بالوصول إلى التطبيقات دون إذن.
وعثر الباحثون على الثغرة الأمنية في خدمة إدارة الوصول والهوية Azure Active Directory. ويمكن لأي مستخدم لـ (أزور) الوصول إلى التطبيقات التي تستخدم ما يُعرف بأذونات المستأجرين المتعددين للمنصة، التي تطلب من المطورين التحقق من المستخدمين الذين يمكنهم الوصول إلى تطبيقاتهم.
وبالنظر إلى أن هذه المسؤولية ليست واضحة دائمًا، فإن التكوين الخطأ أمر شائع، حتى أن (ويز) تتدعي أن 25 في المئة من التطبيقات المتعددة المستأجرين جميعها التي فحصتها تفتقر إلى التحقق المناسب من الصحة.
ويعد Bing Trivia أحد هذه التطبيقات، إذ تمكن الباحثون من تسجيل الدخول إلى التطبيق باستخدام حساباتهم في (أزور)، حيث اكتشفوا نظام إدارة المحتوى CMS الذي سمح لهم بالتحكم في نتائج البحث مباشرةً على محرك البحث Bing.com.
موضوعات ذات صلة بما تقرأ الآن:
وتحذر (ويز) من إمكانية أن يكون أي شخص وصل إلى صفحة تطبيق Bing Trivia قد تلاعب بنتائج بحث (بينج) لإطلاق حملات لنشر المعلومات المضللة، أو للتصيد الاحتيالي.
وكشف تحقيق في قسم Bing’s Work أيضًا أنه يمكن استخدام الاستغلال للوصول إلى بيانات المستخدمين الآخرين في خدمة التطبيقات المكتبية (أوفيس 365)، مما يكشف عن رسائل البريد الإلكتروني، والتقويمات، ورسائل (تيمز)، ومستندات (شيربوينت) SharePoint، وملفات (ون درايف) OneDrive في (آوتلوك).
وأثبتت (ويز) أنها نجحت في استخدام الثغرة الأمنية لقراءة رسائل البريد الإلكتروني من البريد الوارد لضحية افتراضية. واكتشفت عمليات استغلال مماثلة للتكوين الخطأ في أكثر من 1,000 تطبيق وموقع على منصة مايكروسوفت السحابية، ومن ذلك: Mag News، و Contact Center، و PoliCheck، و Power Automate Blog، و Cosmos.
وقال (آمي لوتواك)، كبير مسؤولي التقنية في (ويز)، لصحيفة (وول ستريت جورنال): «من الوارد أن يكون مهاجم محتمل قد أثر في نتائج بحث (بينج) واخترق رسائل البريد الإلكتروني وبيانات (مايكروسوفت 365) لملايين الأشخاص». وأضاف: «قد يكون (المهاجم المحتمل) دولة قومية حاولت التأثير في الرأي العام أو قرصان ذو دوافع مالية».
ووفقًا لكبير مسؤولي التقنية في (ويز)، فقد أُبلغ مركز الاستجابة الأمنية التابع لشركة مايكروسوفت بثغرة (بينج) في 31 كانون الثاني/ يناير الماضي، فما كان من الشركة إلا أن أصلحتها في 2 شباط/ فبراير الماضي.
ثم حددت (ويز) التطبيقات الأخرى المعرضة للخطر في 25 شباط/ فبراير، وقالت إن مايكروسوفت أكّدت أن المشكلات المبلغ عنها جميعها قد أُصلحت في 20 آذار/ مارس الجاري. وقالت مايكروسوفت أيضًا إنها أجرت تغييرات إضافية لتقليل مخاطر التكوين الخطأ في المستقبل.
وحديثًا شهد محرك (بينج) ارتفاعًا هائلًا في الشعبية، حتى أنها تجاوز 100 مليون مستخدم نشط يوميًا في وقت سابق من الشهر الحالي بعد إطلاق ميزة الدردشة القائمة على تقنية الذكاء الاصطناعي في 7 شباط/ فبراير الماضي.
ولو لم يتم إصلاح المشكلة قبل أيام قليلة من إطلاق الميزة، كان من الممكن أن يؤدي النمو الهائل لمحرك البحث إلى تأثر ملايين المستخدمين بالثغرة الأمنية الخطرة، خاصةً أن (بينج) يُصنَّف بأنه يأتي في المرتبة الثلاثين من حيث أكثر المواقع زيارة في العالم، بحسب شركة (سيميلر ويب) Similarweb.
وفي شهر تشرين الأول/ أكتوبر من العام الماضي، أدت خطأ في التكوين مماثل في (أزور) إلى اختراق بيانات (بلوبليد) BlueBleed الذي كشف بيانات 150,000 شركة في 123 دولة.
وقالت (ويز) إنه لا يوجد أي دليل على استغلال الثغرة الأمنية قبل تصحيحها. ومع ذلك، لن توفر سجلات Azure Active Directory بالضرورة تفاصيل تتعلق بالنشاط السابق، وتدّعي (ويز) أن المشكلة قد تكون قابلة للاستغلال لسنوات.
وتوصي (ويز) المؤسسات التي لديها تطبيقات Azure Active Directory بالتحقق من سجلات التطبيقات الخاصة بها بحثًا عن أي عمليات تسجيل دخول مشبوهة قد تشير إلى وجود خرق أمني.