微软修复必应漏洞 该漏洞曾导致电子邮件等数据遭窥探——《华尔街日报》

微软公司在上个月修补了必应搜索引擎的一个危险安全漏洞，几天后推出了由人工智能驱动的新版本。

该问题由安全公司Wiz Inc的外部研究人员发现。由于微软在其云计算平台Azure上配置应用程序时出现错误，攻击者可利用该漏洞获取必应用户的电子邮件和其他文档，研究人员表示。

据Wiz首席技术官Ami Luttwak称，微软于2月2日修复了该问题。五天后，萨提亚·纳德拉为必应引入了新的生成式AI功能，重新激发了人们对微软已有14年历史的搜索引擎的兴趣。微软在最近的博客中表示，升级后必应的日活跃用户数已突破1亿。

微软一直在为其大部分软件和服务添加生成式AI功能。新版必应可通过ChatGPT技术支持的聊天机器人帮助用户追踪信息。

微软正将这项技术整合到其广受欢迎的Microsoft 365商业软件套件中。本周该公司公布了利用AI帮助网络安全专家监控和分类攻击的计划。

微软一位发言人表示，此次配置错误影响了公司少数使用其登录管理服务Azure Active Directory的应用程序。

该公司称：“我们感谢与Wiz的合作，这帮助我们降低了潜在风险并进一步强化了服务，也感谢他们为保护生态系统与我们携手努力。”

微软已在其大部分软件和服务中增加了生成式AI功能。图片来源：Chona Kasinger/Bloomberg News微软在一篇博客文章中表示，Wiz指出的问题已得到修复，并概述了企业和消费者可采取的防护措施。该公司称已采取措施防止此类问题再次发生。

周三微软股价收盘上涨近2%，与纳斯达克综合指数涨幅持平。

Wiz表示没有证据表明有人利用了该漏洞。这家网络安全公司称，虽然该漏洞可能已存在多年可供黑客利用，但具体时长尚不清楚。

Wiz研究员Hillai Ben-Sasson表示，配置错误使他能够访问微软员工用于在必应上设置知识问答的网站。由于配置不当，任何拥有免费微软账户的人都可以通过它来改变必应搜索查询的显示结果。

Wiz的Luttwak先生表示，该网站本应仅限微软员工查看。“我们根本不应该看到它，“他说。

Wiz团队发现，通过修改必应趣味问答页面的数据，他们可以改变部分必应搜索结果。通过调整该页面，他们能让特定搜索查询显示任意指定结果。例如，当用户搜索"最佳原声带"时，他们成功使1995年电影《黑客》出现在结果中。

随后他们发现了更严重的问题：存在能获取必应用户Microsoft 365邮件、文档、日历等数据的漏洞。

这种访问权限对黑客极具价值，可被用于窃取敏感信息、发送欺诈邮件及入侵计算机系统。

“潜在攻击者可能操纵必应搜索结果，并危及数百万人的Microsoft 365邮件和数据，“Luttwak先生表示，“可能是试图影响舆论的国家行为体，也可能是谋取经济利益的黑客。”

除趣味问答网站外，Wiz研究人员在微软云服务上还发现约1000个存在类似问题的网站。其中大部分页面属于Azure客户，但至少有10个属于微软自身。

微软已成为全球最大网络安全公司之一。但近期在整合传统产品与快速发展的云计算平台时，其运行于个人电脑和企业数据中心的遗留产品频频出现安全问题。

联系记者Robert McMillan：[email protected]

本文发表于2023年3月30日印刷版，标题为《微软修复必应安全漏洞》