Microsoft Bing、検索結果を操作する事すら可能な大規模な脆弱性が判明

masapoco
投稿日 2023年3月31日 14:33
bing chatgpt 1920x1080 Hero

MicrosoftのBingは、Bingチャットの登場により、かつてない程の注目を浴びている。しかし、チャットボットの公開に先立ち、Wizのセキュリティ研究者が、MicrosoftのクラウドコンピューティングプラットフォームであるAzureの設定ミスを発見し、Bingを侵害し、Azureユーザーなら誰でも認証なしにアプリケーションにアクセスできるようになる脆弱性を報告している。

WizのHillai Ben-Sasson氏は今週、The Wall Street Journalが報じたように、チームの調査結果をTwitterスレッドに投稿した。発端は1月、Wizが「Azureの奇妙な構成」を発見したことだった。この脆弱性は、Azure Active Directory(AAD)のIDおよびアクセス管理サービスで検出された。Ben-Sasson氏はこの設定を悪用して、MicrosoftのBing Trivia機能に入り込むことが出来たという。そして、彼はすぐに、この機能を使ってBingの検索結果に実際に変更を加えることができることを知った。

この欠陥により、Wizは「ログインしているすべてのユーザーに対してOfficeトークンを発行」することも出来た。 つまり、ハッカーはこの悪用を利用して、OutlookのメールやTeamsのチャットなど、Bingユーザーから個人情報を入手できたのだ。Wizの最高技術責任者であるAmi Luttwak氏がThe Wall Street Journalに語ったように、「世論に影響を与えようとする国家や、金銭的な動機のあるハッカーだった可能性があります」とのことだ。

良いニュースは、MicrosoftがAzureとBingでWizが報告した問題を現在修正していることだ。この問題に関する自身のブログ記事で、次のように述べている:

Azure ADがアップデートされ、リソーステナントに登録されていないクライアントへのアクセストークンの発行が停止されました。これにより、アプリケーションが認証チェックを正しく処理しない場合でも、本問題の発生を防ぐことができます。

Wizは、パッチが適用される前に脆弱性が悪用されていたという証拠はないと述べています。とはいえ、Azure Active Directoryのログが以前の活動に関する詳細を提供するとは限らず、Wizは、この問題が何年も前から悪用されていた可能性があると主張している。Wizは、Azure Active Directoryアプリケーションを使用している組織は、セキュリティ侵害を示す疑わしいログインがないか、アプリケーションログを確認することを推奨している。

また、Ben-SassonはTwitterで、Microsoftが欠陥を発見し報告したことでWizに4万ドルの報奨金を与えたと述べている。


Source



この記事が面白かったら是非シェアをお願いします!



コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です