研究者は、ハッカーが検索結果を改ざんできるセキュリティ上の欠陥を Bing に発見しました

Microsoft の Bing は、過去 2 か月間で、Bing Chat の開始により、検索エンジンのほとんどの寿命よりもはるかに多くの注目を集めています。しかし、チャットボットが公開される前に、Wiz というセキュリティ調査会社は、ハッカーが個人情報を取得したり、検索結果を変更したりすることを可能にする重大なセキュリティ上の欠陥を Bing に発見しました。

The Wall Street Journalが報じたように、Wiz の Hillai Ben-Sasson 氏は今週、チームの調査結果を含むTwitter スレッドを投稿しました。Wiz が「Azure で奇妙な構成」を見つけた 1 月に始まりました。Ben-Sasson は、この構成を悪用して、Microsoft の Bing Trivia 機能に入ることができました。しかし、彼はすぐに、この機能を使用して Bing の検索結果を実際に変更できることを知りました。

この脆弱性により、Wiz は「ログオンしている任意のユーザーに対して Office トークンを発行する」こともできました。つまり、ハッカーはこのエクスプロイトを使用して、Bing ユーザーから Outlook の電子メールや Teams チャットなどの個人情報を取得できた可能性があります。Wiz の最高技術責任者である Ami Luttwak 氏がウォール ストリート ジャーナルに語ったように、「世論に影響を与えようとする国家か、金銭目的のハッカーであった可能性があります。」

幸いなことに、Microsoft は現在、Wiz が Azure と Bing で報告した問題を修正しています。この問題に関する独自のブログ投稿で、次のように述べています。

Azure AD が更新され、リソース テナントに登録されていないクライアントへのアクセス トークンの発行が停止されました。これにより、アプリケーションが認証チェックを正しく処理しない場合でも、この問題が発生するのを防ぐことができます。

さらに、Ben-Sasson は Twitter で、 Microsoft が Wiz に欠陥の発見と報告に対して $40,000 の報奨金を授与したと述べました。