Vulnerabilidad en navegador permitió alterar resultados de búsquedas
Hace unos días fue revelada una gran brecha de seguridad que ha permitido a los investigadores de ciberseguridad cambiar los resultados de las búsquedas del navegador de Microsoft, de nombre Bing.
Esta vulnerabilidad ha sido descubierta hace unos meses por la compañía de investigaciones de seguridad cibernética, llamada Wiz, quienes informaron a los responsables del gigante tecnológico. Concretamente a la sección de Microsoft Security Response Center o MSRC.
Los investigadores de Wiz, a través de una publicación de la red social, Twitter, explicaron todo lo relacionado al hackeo del sistema de administración de contenido, CMS, del navegador Bing. El fallo consistía en que, al iniciar sesión en la plataforma de computación en la nube de Microsoft, Azure, descubrieron que podía otorgar a cualquier usuario acceso a apps internas de Microsoft.
Después, se accedió a una base de datos de los resultados de búsqueda de Bing y, a partir de allí, hallaron la forma de modificar lo que aparecía en dichos resultados del navegador.
TIC Defense tiene todo lo necesario para proporcionarte seguridad cibernética, al evitar amenazas y riesgos en la infraestructura informática de tu empresa. De esta forma, estarás protegido de intrusiones y brechas de seguridad, ya que nuestras soluciones se adaptan a las necesidades de tu organización.
El grupo de investigadores descubrió también que el navegador Bing era vulnerable a un ataque cibernético, llamado Cross-Site Scripting o XSS. Del mismo modo, descubrieron que tenían acceso a datos confidenciales de la plataforma Office 365. Incluso, tenían acceso a correos electrónicos de Outlook, información de calendario, mensajes y otros datos.
El grupo de control y seguridad de Microsoft, MSRC, lanzó algunas actualizaciones de seguridad y recomendaciones que compartieron tanto administradores como desarrolladores de AzureAD. Esta información fue publicada en el blog del gigante tecnológico.
Los investigadores independientes señalaron que el propósito de este “experimento”, era demostrar que era posible una intrusión en el sistema, informando a Microsoft de inmediato. Igualmente, esas acciones muestran cómo los hackers maliciosos pudieron haber entrado a los sistemas y haber causado desastres en el navegador Bing.
Los especialistas comentaron que los actores maliciosos con acceso a Bing, podrían haber secuestrado los resultados de búsqueda más populares. Todo ello con la misma carga y podrían filtrar datos confidenciales de millones de usuarios de todo el mundo.
Ante esto, Azure AD tuvo que ser actualizada para dejar de emitir tokens de acceso a clientes que no estaban registrados como contratantes temporales de recursos. Esta actualización evitó que sucedan problemas de accesos no autorizados si una aplicación no puede manejar la verificación de autorización de forma correcta.
La publicación en el blog de Wiz también aclara que, por buena fortuna, esta amenaza fue contenida antes de que causara daños de consideración en los sistemas de Microsoft, de Bing y de Azure.
Las publicaciones de los blogs oficiales de Microsoft y Wiz, destacan que la vulnerabilidad había sido solucionada, en donde los investigadores de esta última empresa recibieron una recompensa, la cual piensan donar a una organización o destinatario que, en estos momentos, no ha sido especificado.
