Eine undichte Stelle in der Azure-Konfiguration ermöglichte es jedem Benutzer, sich in das CMS einzuloggen, über das Microsoft Bing verwaltet. Sie konnten dann Suchergebnisse ändern und sogar eine Nutzlast einfügen, um in die Konten der Nutzer einzudringen.
Die Forscher nennen das Leck „BingBang“. Es handelt sich um eine Fehlkonfiguration von Azure Active Directory. Wenn im Backend die falsche Option ausgewählt wird, um Benutzern Zugriff auf ihr eigenes Verzeichnis zu gewähren, hat jeder mit einem Azure-Konto Zugriff. Dies wurde unter anderem bei der Anwendung Bing Trivia festgestellt, mit der Microsoft Suchergebnisse zu Trivia verwaltet.
In dieser Anwendung war es möglich, die Suchergebnisse im Karussell am oberen Bildschirmrand zu manipulieren. Den Forschern gelang es auch, eine Nutzlast darin zu platzieren, um Token von angemeldeten Benutzern abzufangen. Von jedem Benutzer, der darauf klickte, konnten die Angreifer dadurch auf alle Microsoft-Anwendungen wie Outlook Mail und Sharepoint zugreifen.
Die Forscher informierten Microsoft am 31. Januar. Das Leck wurde am 2. Februar geschlossen. Die Forscher warteten dann, bis alle Azure-Plattformen, bei denen sich jeder Benutzer ebenfalls anmelden konnte, das Leck geschlossen hatten, bevor sie Informationen über BingBang veröffentlichten.
