【案例学习】黑帽大会 BingBang 案例复盘：Azure AD 配置失误攻陷 Bing

文章目录

• • 前言
  • 一、案例背景：一次"勾选框"引发的血案
  • • 核心结论
  • 二、漏洞核心原理：两个致命错误
  • • [1. 错误一：多租户勾选 = 全员可登，Azure 只验 3 个字段](#1. 错误一：多租户勾选 = 全员可登，Azure 只验 3 个字段)
    • [2. 错误二：租户 ID 可随意伪造，开发者轻信令牌来源](#2. 错误二：租户 ID 可随意伪造，开发者轻信令牌来源)
  • [三、攻击实战：从扫描到攻陷 Bing 全过程](#三、攻击实战：从扫描到攻陷 Bing 全过程)
  • • [1. 批量扫描：找出全网脆弱应用](#1. 批量扫描：找出全网脆弱应用)
    • [2. 锁定高价值目标：微软应用](#2. 锁定高价值目标：微软应用)
    • [3. 登录即沦陷：零权限闯入 Bing 生产后台](#3. 登录即沦陷：零权限闯入 Bing 生产后台)
    • [4. 实时篡改 Bing 搜索结果](#4. 实时篡改 Bing 搜索结果)
    • [5. 进阶杀伤：XSS 窃取 Office 365 完整权限](#5. 进阶杀伤：XSS 窃取 Office 365 完整权限)
  • 四、微软其他沦陷系统
  • 五、微软修复与安全改进
  • 六、企业安全加固建议
  • • [1. 应用配置](#1. 应用配置)
    • [2. 身份认证](#2. 身份认证)
    • [3. 监控与扫描](#3. 监控与扫描)
  • 七、案例核心启示
  • 总结
  • 原视频

⚠️本博文所涉安全渗透测试技术、方法及案例，仅用于网络安全技术研究与合规性交流，旨在提升读者的安全防护意识与技术能力。任何个人或组织在使用相关内容前，必须获得目标网络 / 系统所有者的明确且书面授权，严禁用于未经授权的网络探测、漏洞利用、数据获取等非法行为。

前言

大家好，今天带来 BlackHat 经典 BingBang 攻击案例 深度拆解。这是一次由Azure AD 多租户配置缺陷引发的高危入侵：安全研究员仅靠错误配置，就拿下 Bing 后台 CMS，实时篡改搜索结果、植入 XSS，甚至窃取用户 Outlook/Teams/SharePoint 全量数据。

本文结合大会内容，还原漏洞原理→攻击链路→实战演示→修复建议，适合云安全、身份认证、渗透测试方向学习。

---

一、案例背景：一次"勾选框"引发的血案

本次研究来自以色列安全团队 Wiz Research，研究员 Yelamson 在 BlackHat 发表题为 Bing Bang Hacking Bing.com and much more with Azure Active Directory 的演讲。

核心结论

• 根源：Azure AD 多租户应用认证机制缺陷 + 开发者配置失误
• 影响：超 1300 个应用、500+ 组织 存在同款漏洞，约 25% 多租户应用高危
• 微软自身中招：Bing 后台、MSN 简报、Power Automate 博客、Cosmos 存储管理等大量内部系统沦陷

一句话总结：开发者以为勾选"多租户"后 Azure 会帮他验身份，结果等于把门完全敞开。

---

二、漏洞核心原理：两个致命错误

1. 错误一：多租户勾选 = 全员可登，Azure 只验 3 个字段

Azure AD 多租户应用创建时，开发者常误以为：

勾选多租户 → Azure 会自动限制仅内部租户可登录

真相 ：

Azure App Service 只验证 OAuth 令牌中 3 个字段：

• aud（受众，即目标应用）
• nbf（生效时间）
• exp（过期时间）

租户 ID、用户身份、签发方等关键声明完全不校验 。

只要是多租户应用，全球任意 Azure 租户/任意账号都能登录成功。

2. 错误二：租户 ID 可随意伪造，开发者轻信令牌来源

即便开发者自己加了租户白名单校验，依然可被绕过：

• 登录请求中的 tenant_id 是明文参数，公开可查
• 攻击者把自己的 tenant_id 篡改为目标公司（如微软）的 ID
• 应用校验通过，直接以内部身份访问

这就是 跨租户身份冒充，零成本绕过权限控制。

---

三、攻击实战：从扫描到攻陷 Bing 全过程

1. 批量扫描：找出全网脆弱应用

研究员的自动化狩猎流程：

1. 收集海量 azurewebsites.net 子域名
2. HTTP 探测存活应用
3. 识别使用 Azure AD 登录的应用
4. 前端指纹 isglobaltenant=true 判定多租户
5. 尝试登录，筛选可直接进入业务系统的应用

结果：5000+ 多租户应用 → 1300+ 可直接未授权访问。

2. 锁定高价值目标：微软应用

通过 Graph API 查询 appOwnerOrganizationId，筛选微软租户：
72f988bf-86f1-41af-91ab-2d7cd011db47

一眼发现高危目标：
bingtrivia.azurewebsites.net

→ Bing 官方内容管理后台。

3. 登录即沦陷：零权限闯入 Bing 生产后台

用自己的 Wiz 研究租户账号，直接登录：

登录成功，直接进入 Bing 内容管理门户：

看到 carousel、quiz、distill 等模块------这就是控制 Bing 首页推荐、搜索卡片、知识面板的生产 CMS！

4. 实时篡改 Bing 搜索结果

目标：修改 best soundtracks 搜索结果。

1. 进入获奖原声列表：

2. 编辑条目，把《Dune》换成《Hackers 1995》：

3. 保存即生效 ，Bing.com 实时同步：
   

危害：可植入钓鱼链接、虚假信息、恶意文案，影响数亿用户。

5. 进阶杀伤：XSS 窃取 Office 365 完整权限

研究员发现 CMS 存在 存储型 XSS，构造 Payload：

• 劫持用户浏览器
• 调用 Bing API 申请 Office 365 访问令牌
• 外发令牌到攻击者服务器

拿到令牌后，可完全访问：

• Outlook 邮件、日历
• Teams 聊天记录
• SharePoint / OneDrive 全量文件
• 所有组织内数据

---

四、微软其他沦陷系统

• MSN 简报后台：可发钓鱼邮件到海量用户
• 集中通知 API：可向微软开发者群发恶意通知
• 客服中心 API：获取坐席、网点、通话数据
• PolyCheck：微软内部政治敏感词库，100+ 语言
• Power Automate 博客 WordPress 后台：可改官网文章
• Cosmos 存储系统：管理 4EB 级微软内部文件

---

五、微软修复与安全改进

1. 修复登录逻辑：禁止随意跨租户登录，需显式授权
2. 新增 AllowedTenants 配置：精确白名单管控
3. 文档全面升级：明确多租户安全责任边界
4. 向受影响客户推送通知与加固指南

---

六、企业安全加固建议

1. 应用配置

• 非必要禁用多租户，改为单租户
• 必须多租户时，配置显式租户白名单
• 绝不依赖 Azure 默认校验，自己代码校验令牌：iss、tid、aud 等

2. 身份认证

• 启用令牌签名校验 、发行方校验
• 关键系统增加IP 白名单、MFA、条件访问

3. 监控与扫描

• 审计所有多租户应用权限
• 启用登录日志，监控异常跨租户访问
• 定期扫描 azurewebsites.net 自身资产

---

七、案例核心启示

1. 云身份是边界新核心，配置失误比 0day 更普遍、更致命
2. 共享责任模型必须吃透：云厂商不替你做业务权限校验
3. 多租户不是"方便开关"，是高危权限
4. 内网系统放公网=裸奔，哪怕是微软也会翻车

---

总结

BingBang 是云身份安全教科书级案例：一个勾选框、一次轻信、一行漏写的校验代码，最终导致搜索引擎被篡改、用户账号被接管。

原视频

https://www.youtube.com/watch?v=l4hA2eZuMF8