BIEN MERECIDA

Microsoft paga una gran recompensa a este ingeniero tras descubrir un grave fallo informático

Las empresas se devanan los sesos cada vez que diseñan un programa o una infraestructura informática. Pero se les pueden escapar fallos bastante graves

Foto: Microsoft paga 40.000 $ a este ingeniero por descubrir un grave fallo informático. (Mika Baumeister para Unsplash) — Microsoft paga 40.000 $ a este ingeniero por descubrir un grave fallo informático. (Mika Baumeister para Unsplash)

Por

30/03/2023 - 11:57

Un hacker es una persona que se dedica a explotar vulnerabilidades en línea para su propio beneficio, normalmente con fines maliciosos. Su contraparte son los hackers éticos, aquellos profesionales de la seguridad informática que identifican vulnerabilidades y debilidades en los sistemas informáticos y ayudan a empresas y organizaciones a mantenerse seguros.

Este es el caso de Hillai Ben-Sasson, un investigador de seguridad en la nube experto en analizar e identificar vulnerabilidades en diferentes ámbitos informáticos. En su cuenta de Twitter ha compartido recientemente un caso en el que encontró un fallo en Bing, el buscador de Microsoft, a través de Azure, la plataforma de servicios de informática en la nube, también de Microsoft.

Hillai comienza su tuit explicando que “hackeé un CMS de Bing que me permitió modificar los resultados de búsqueda y controlar millones de cuentas de Office 365”. Así de asombroso suena. Al principio, él y su equipo notaron una configuración extraña en Azure, “una sola casilla de verificación es todo lo que separa a una aplicación de convertirse en ‘multiusuario’, lo que, de forma predeterminada, permite que todos los usuarios inicien sesión”, explicaba.

Alteración de los resultados de búsqueda

Una vez dentro, encontró una aplicación de Microsoft configurada e inició sesión con su usuario habitual de Microsoft. Así, a su usuario “se le otorgó acceso inmediato a la página de Bing Trivia”. No parece gran cosa, pero esa página es capaz de controlar los resultados reales de búsqueda.

Foto: El hackeado Eminem, en una imagen de archivo. (Getty/Christopher Polk)

TE PUEDE INTERESAR

Por qué unos hackers españoles han hecho TT a Eminem, Ariana Grande o Justin Bieber en Twitter

Jorge C. Parcero

Hillai procedió a probar su nuevo descubrimiento y fue capaz de cambiar los resultados de búsqueda en Bing de la palabra clave "mejores bandas sonoras". El primer resultado natural es Dune (2021), e Hillai lo cambió a Hackers (1995). Curiosamente, funcionó al instante. Tras varias comprobaciones más y algunas pruebas, el investigador decidió revertir todos sus cambios e informar a Microsoft.

La vulnerabilidad era más grave de lo que parecía a simple vista, ya que con los tókenes y las habilidades necesarias, un atacante podría obtener correos electrónicos de Outlook, calendarios, mensajes de equipos, documentos de SharePoint, archivos de OneDrive y muchas otras cosas más de cualquier usuario de Bing.

Programa de recompensas de Microsoft

Microsoft respondió rápidamente, solucionó “las aplicaciones vulnerables e introdujo algunos cambios de guía y productos de AAD para ayudar a los clientes a mitigar este problema”. Además, mediante el Programa de recompensas M365 de Microsoft, que “invita a investigadores de todo el mundo a identificar y enviar vulnerabilidades en dominios y terminales específicos de Microsoft”, Hillai recibió una recompensa de 40.000 dólares, que serán donados.

Microsoft Hackers

El redactor recomienda

Google vs. Microsoft: guerra abierta por la inteligencia artificial que va a cambiar tu vida Manuel Ángel Méndez Gráficos: Miguel Ángel Gavilanes
Científicos detectan ya destellos de humanidad en la inteligencia artificial Omar Kardoudi
Facebook está aparcando silenciosamente el metaverso y ahora va a por Google y Microsoft Michael Mcloughlin