摸鱼好久没更新，搬运内容充数

在发布数月后，ChatGPT 火到路上随便找一个大妈估计都听说过。作为 OpenAI 的金主，微软 bing 近水楼台，直接将 GPT 集成了进去。可谓一时无两。

以下转载的一篇安全研究虽然跟 GPT 没有半毛钱关系，却有机会修改 bing 标准版的搜索结果并植入（测试性的）恶意代码。漏洞根源甚至不是代码的错误。

云安全公司 wiz.io 的研究人员近日发现了 Azure Active Directory 的配置错误问题，将导致大量的未授权访问漏洞。部分应用程序错误地配置为多租户应用程序，而且没有额外的授权检查。

Azure 的配置后台，图片来自 Wiz Research

此类错误配置可能在多租户应用程序中相当普遍，甚至包括微软自家的服务。其中一个受影响的应用程序是 bing.com 的某个管理后台。

bing 的 CMS，图片来自 Wiz Research

成功利用漏洞之后，可以编辑 bing 每日壁纸，篡改搜索结果页的置顶相关搜索。

验证漏洞时将第一个结果改为电影 Hackers，图片来自 Wiz Research

甚至植入 javascript 之后，也成功将测试脚本“投毒”到搜索结果页中了。这个页面可以读取到 Office 365 的访问 token，进而接管大量数据。

测试脚本，图片来自 Wiz Research

微软因此给了 Wiz 四万美元的赏金，Wiz Research 表示将全数全给慈善基金。MSRC 对此也发布了一篇《关于使用 Azure AD 的多租户应用程序授权的潜在错误配置指南》，披露此漏洞并提醒用户。

由于本营销号对云安全没有研究，就不尝试错误翻译曲解内容了。更多细节请查看原文。

参考资料

1. BingBang: AAD misconfiguration led to Bing.com results manipulation and account takeover
   https://www.wiz.io/blog/azure-active-directory-bing-misconfiguration

2. Guidance on Potential Misconfiguration of Authorization of Multi-Tenant Applications that use Azure AD
   

https://msrc.microsoft.com/blog/2023/03/guidance-on-potential-misconfiguration-of-authorization-of-multi-tenant-applications-that-use-azure-ad/