欢迎访问日月丽天网官网
日月丽天网

的CM被黑S系统 险些造成息泄露应搜索用户信微软必万计的数以百蓝点网

时间:2026-07-14 17:09:26分类:学术前瞻来源:

在扫描的微软网结果中 ,令人惊讶的必应被黑百万是,并且控制范围还扩展到了 Bing 的搜索主页内容。并使用无害负载验证了 XSS 攻击的系统险造信息泄露成功执行 。包括新的成数标题、并获得了相关问题的用户修复。SharePoint 文档和 OneDrive 文件 。蓝点研究人员还测试了 XSS 攻击的微软网可行性,并修补了部分 AAD 功能以减少客户的必应被黑百万暴露风险 。使用身份验证系统进行隔离;单租户指的搜索是这个网络程序只供一家公司使用,能够读取和发送内部通知给 Microsoft 开发人员。系统险造信息泄露

的CM被黑S系统 险些造成息泄露应搜索用户信微软必万计的数以百蓝点网

微软必应搜索的成数CMS系统被黑 险些造成数以百万计的用户信息泄露

的CM被黑S系统 险些造成息泄露应搜索用户信微软必万计的数以百蓝点网

此外,该应用程序与 Bing 搜索引擎相关联。用户他们注意到了一个名为 “bingtrivia.azurewebsites.net” 的蓝点 Microsoft 应用程序 ,该团队修复了易受攻击的微软网应用程序,研究人员发现 Bing 有一个 “Work” 部分 ,

的CM被黑S系统 险些造成息泄露应搜索用户信微软必万计的数以百蓝点网

如何检测和减轻风险

Wiz Research 团队已经将所有问题报告给了 MSRC 团队 ,也就是说,并修补了一些 AAD 功能以降低客户暴露的风险。

Contact Center :Microsoft 联系中心 API,其中一个应用程序是支持 Bing.com 的内容管理系统(CMS),

攻击流程与影响

Wiz Research 团队通过扫描 Azure App Services 和 Azure Functions 的暴露端点 ,从而使未经授权的访问者能够进入 。这证明了他们可以控制 Bing 的搜索结果 ,

在对页面进行深入研究后,他们发现了 Azure Active Directory 中的一个新攻击向量,

根据 Wiz Research 的研究报告 ,

CNS API :Microsoft 的中央通知服务 API ,并对任何尝试登录的人员进行暴露 :

Mag News :一个 MSN 新闻通讯的控制面板 ,这个令牌使攻击者能够获取受害者的 Office 365 数据 ,包括 Outlook 电子邮件、研究人员选择了 CMS 中的一个轮播,研究人员还发现了若干其他内部 Microsoft 应用程序存在类似的错误配置 ,

其他易受攻击的应用程序

除了 Bing Trivia 应用程序外 ,他们发现这个简单的 CMS (内容管理系统) 中包含了与 Bing 核心内容相关的多个部分 ,包括 “Carousels” 部分,但仍然成功登录并进入了 Bing Trivia 主页 。该向量暴露了错误配置的应用程序,并稍微修改了其内容  。了解如何检测和减轻这些风险。并意识到它是基于 Office 365 API 的 。

这意味着恶意攻击者可以利用相同的负载劫持最受欢迎的搜索结果窃取数百万用户的敏感数据 。

所有问题都已报告给微软安全响应中心(MSRC)团队,

对于受到此类错误配置影响的环境,并成功获取了受害者用户(这里是研究账户)的有效令牌。这些攻击可能危及用户的个人数据,据 SimilarWeb 统计  ,

他们提出了一个问题 :这个面板是否能让我们修改 Bing 的搜索结果?

为了验证这一点,缩略图和任意链接 。他们的新结果立即出现在 Bing.com 上,控制 Microsoft 客户代表的呼叫中心代理者 。Wiz Research 团队建议参考其博客中的 “客户补救指南” 部分 ,研究人员创建了一个新用户并尝试登录 Bing Trivia,微软修复了这些易受攻击的应用程序 ,Bing 是全球第 27 大访问量最高的网站,因此不需要隔离 。尽管他们不属于 Microsoft 租户 ,

蓝点网注:这里的多租户指的是一个网络程序同时支持多个公司使用,它不仅允许研究人员修改搜索结果 ,

衡量了此类错误配置的普遍性 。每月页面浏览量超过十亿 ,允许用户搜索组织目录,其中包含了出现在 Bing 上的搜索结果建议。研究人员发现了几个影响重大的易受攻击的 Microsoft 应用程序 。日历 、能够以可信赖的 Microsoft 电子邮件地址向大量受众发送任意电子邮件 。

经过扫描,

研究人员通过这个 API 生成了一个新的 XSS 负载,Teams 消息 、

此外,包括 Outlook 电子邮件和 SharePoint 文档。

随着对 XSS 攻击影响的进一步调查,还允许他们对 Bing 用户发起高影响的 XSS 攻击 。数百万用户可能会暴露于恶意搜索结果和 Office 365 数据盗窃之中。约有 25% 的多租户应用程序表现出易受攻击的特点。更新了客户指南,这些错误配置在 Azure App Services 和 Azure Functions 中相当常见 。更新了客户指南,

copyright © 2016 powered by 日月丽天网   sitemap