Nedavno otkriće ranjivosti skriptovanja na više lokacija (XSS) na Bing.com izazvalo je značajne sigurnosne probleme, potencijalno omogućavajući napadačima da šalju napravljene maliciozne zahtjeve preko Microsoftovih međusobno povezanih aplikacija.
Ova ranjivost, identifikovana na glavnom domenu Bing-a, naglašava rizike povezane sa široko rasprostranjenim integracijama web usluga i naglašava potencijal za eksploataciju velikih razmjera .
Ranjivost je otkrivena tokom detaljnog ispitivanja površina napada na Bing API, posebno fokusirajući se na to kako glavna domena Binga komunicira sa drugim Microsoft uslugama.
Istraživanje je otkrilo da se XSS ranjivost može iskoristiti za izvršavanje proizvoljnog JavaScript-a na glavnom domenu Bing-a, ‘www.bing.com’.
Istraživač, “pedbap” je primijetio da bi se ovo izvršavanje tada moglo iskoristiti za kreiranje malicioznih zahtjeva koji ciljaju na druge Microsoft aplikacije na koje su korisnici po defaultu prijavljeni, kao što su Outlook, Copilot i OneDrive.
Mehanizam napada
Napad počinje iskorištavanjem XSS ranjivosti za stvaranje maliciozne veze. Ova veza omogućava napadačima da izvrše JavaScript u kontekstu glavnog domena Binga.
S obzirom na integraciju Binga sa drugim Microsoft uslugama, maliciozna skripta može slati zahtjeve koji pokreću osjetljive radnje na ovim platformama.
Široka upotreba Binga povećava potencijalni uticaj napada, jer milioni korisnika svakodnevno komuniciraju sa Bingovim funkcijama. Kada se izvrši, maliciozni JavaScript može pristupiti korisničkim podacima na više Microsoftovih usluga.
Ovo uključuje čitanje e-pošte u Outlooku, pristup datotekama u OneDrive-u i potencijalnu manipulaciju podacima u drugim povezanim aplikacijama. Međusobno povezana priroda Microsoftovog ekosistema znači da kršenje jedne usluge može imati kaskadne efekte na druge.
Ovo otkriće naglašava značajne sigurnosne implikacije za korisnike i Microsoft. Mogućnost izvršavanja XSS napada sa domene od poverenja kao što je Bing predstavlja ozbiljnu prijetnju , jer može dovesti do neovlašćtenog pristupa podacima i manipulacije.
Nadalje, mogućnost da takve ranjivosti budu „problemabilne” (automatski se šire bez interakcije korisnika) povećava rizik od široko rasprostranjene eksploatacije.
Microsoft je upozoren na ovu ranjivost i očekuje se da će preduzeti brzu akciju da zakrpi zahvaćene sisteme.
Korisnicima se savjetuje da budu oprezni kada kliknu na linkove iz nepouzdanih izvora i da osiguraju da su njihovi pretraživači i sigurnosni softver ažurni.
Kao dio širih mjera sigurnosti, organizacije koje koriste Microsoftove usluge treba da pregledaju svoje konfiguracije i kontrole pristupa kako bi spriječile neovlašteni pristup.
Ova XSS ranjivost na Bing.com služi kao kritičan podsjetnik na važnost robusne prakse web sigurnosti , posebno u međusobno povezanim digitalnim ekosistemima.
Izvor: CyberSecurityNews