Microsoft paga una gran recompensa a este ingeniero tras descubrir un grave fallo informático
Las empresas se devanan los sesos cada vez que diseñan un programa o una infraestructura informática. Pero se les pueden escapar fallos bastante graves
Un hacker es una persona que se dedica a explotar vulnerabilidades en línea para su propio beneficio, normalmente con fines maliciosos. Su contraparte son los hackers éticos, aquellos profesionales de la seguridad informática que identifican vulnerabilidades y debilidades en los sistemas informáticos y ayudan a empresas y organizaciones a mantenerse seguros.
Este es el caso de Hillai Ben-Sasson, un investigador de seguridad en la nube experto en analizar e identificar vulnerabilidades en diferentes ámbitos informáticos. En su cuenta de Twitter ha compartido recientemente un caso en el que encontró un fallo en Bing, el buscador de Microsoft, a través de Azure, la plataforma de servicios de informática en la nube, también de Microsoft.
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
— Hillai Ben-Sasson (@hillai) 29 de marzo de 2023
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs
Hillai comienza su tuit explicando que “hackeé un CMS de Bing que me permitió modificar los resultados de búsqueda y controlar millones de cuentas de Office 365”. Así de asombroso suena. Al principio, él y su equipo notaron una configuración extraña en Azure, “una sola casilla de verificación es todo lo que separa a una aplicación de convertirse en ‘multiusuario’, lo que, de forma predeterminada, permite que todos los usuarios inicien sesión”, explicaba.
Alteración de los resultados de búsqueda
Una vez dentro, encontró una aplicación de Microsoft configurada e inició sesión con su usuario habitual de Microsoft. Así, a su usuario “se le otorgó acceso inmediato a la página de Bing Trivia”. No parece gran cosa, pero esa página es capaz de controlar los resultados reales de búsqueda.
Hillai procedió a probar su nuevo descubrimiento y fue capaz de cambiar los resultados de búsqueda en Bing de la palabra clave "mejores bandas sonoras". El primer resultado natural es Dune (2021), e Hillai lo cambió a Hackers (1995). Curiosamente, funcionó al instante. Tras varias comprobaciones más y algunas pruebas, el investigador decidió revertir todos sus cambios e informar a Microsoft.
La vulnerabilidad era más grave de lo que parecía a simple vista, ya que con los tókenes y las habilidades necesarias, un atacante podría obtener correos electrónicos de Outlook, calendarios, mensajes de equipos, documentos de SharePoint, archivos de OneDrive y muchas otras cosas más de cualquier usuario de Bing.
Programa de recompensas de Microsoft
Microsoft respondió rápidamente, solucionó “las aplicaciones vulnerables e introdujo algunos cambios de guía y productos de AAD para ayudar a los clientes a mitigar este problema”. Además, mediante el Programa de recompensas M365 de Microsoft, que “invita a investigadores de todo el mundo a identificar y enviar vulnerabilidades en dominios y terminales específicos de Microsoft”, Hillai recibió una recompensa de 40.000 dólares, que serán donados.
Un hacker es una persona que se dedica a explotar vulnerabilidades en línea para su propio beneficio, normalmente con fines maliciosos. Su contraparte son los hackers éticos, aquellos profesionales de la seguridad informática que identifican vulnerabilidades y debilidades en los sistemas informáticos y ayudan a empresas y organizaciones a mantenerse seguros.
- Google vs. Microsoft: guerra abierta por la inteligencia artificial que va a cambiar tu vida Manuel Ángel Méndez Gráficos: Miguel Ángel Gavilanes
- Científicos detectan ya destellos de humanidad en la inteligencia artificial Omar Kardoudi
- Facebook está aparcando silenciosamente el metaverso y ahora va a por Google y Microsoft Michael Mcloughlin