微軟修復必應漏洞 該漏洞曾導致電子郵件等數據遭窺探——《華爾街日報》

微軟公司在上個月修補了必應搜索引擎的一個危險安全漏洞，幾天後推出了由人工智能驅動的新版本。

該問題由安全公司Wiz Inc的外部研究人員發現。由於微軟在其雲計算平台Azure上配置應用程序時出現錯誤，攻擊者可利用該漏洞獲取必應用户的電子郵件和其他文檔，研究人員表示。

據Wiz首席技術官Ami Luttwak稱，微軟於2月2日修復了該問題。五天後，薩提亞·納德拉為必應引入了新的生成式AI功能，重新激發了人們對微軟已有14年曆史的搜索引擎的興趣。微軟在最近的博客中表示，升級後必應的日活躍用户數已突破1億。

微軟一直在為其大部分軟件和服務添加生成式AI功能。新版必應可通過ChatGPT技術支持的聊天機器人幫助用户追蹤信息。

微軟正將這項技術整合到其廣受歡迎的Microsoft 365商業軟件套件中。本週該公司公佈了利用AI幫助網絡安全專家監控和分類攻擊的計劃。

微軟一位發言人表示，此次配置錯誤影響了公司少數使用其登錄管理服務Azure Active Directory的應用程序。

該公司稱：“我們感謝與Wiz的合作，這幫助我們降低了潛在風險並進一步強化了服務，也感謝他們為保護生態系統與我們攜手努力。”

微軟已在其大部分軟件和服務中增加了生成式AI功能。圖片來源：Chona Kasinger/Bloomberg News微軟在一篇博客文章中表示，Wiz指出的問題已得到修復，並概述了企業和消費者可採取的防護措施。該公司稱已採取措施防止此類問題再次發生。

週三微軟股價收盤上漲近2%，與納斯達克綜合指數漲幅持平。

Wiz表示沒有證據表明有人利用了該漏洞。這家網絡安全公司稱，雖然該漏洞可能已存在多年可供黑客利用，但具體時長尚不清楚。

Wiz研究員Hillai Ben-Sasson表示，配置錯誤使他能夠訪問微軟員工用於在必應上設置知識問答的網站。由於配置不當，任何擁有免費微軟賬户的人都可以通過它來改變必應搜索查詢的顯示結果。

Wiz的Luttwak先生表示，該網站本應僅限微軟員工查看。“我們根本不應該看到它，“他説。

Wiz團隊發現，通過修改必應趣味問答頁面的數據，他們可以改變部分必應搜索結果。通過調整該頁面，他們能讓特定搜索查詢顯示任意指定結果。例如，當用户搜索"最佳原聲帶"時，他們成功使1995年電影《黑客》出現在結果中。

隨後他們發現了更嚴重的問題：存在能獲取必應用户Microsoft 365郵件、文檔、日曆等數據的漏洞。

這種訪問權限對黑客極具價值，可被用於竊取敏感信息、發送欺詐郵件及入侵計算機系統。

“潛在攻擊者可能操縱必應搜索結果，並危及數百萬人的Microsoft 365郵件和數據，“Luttwak先生表示，“可能是試圖影響輿論的國家行為體，也可能是謀取經濟利益的黑客。”

除趣味問答網站外，Wiz研究人員在微軟雲服務上還發現約1000個存在類似問題的網站。其中大部分頁面屬於Azure客户，但至少有10個屬於微軟自身。

微軟已成為全球最大網絡安全公司之一。但近期在整合傳統產品與快速發展的雲計算平台時，其運行於個人電腦和企業數據中心的遺留產品頻頻出現安全問題。

聯繫記者Robert McMillan：[email protected]

本文發表於2023年3月30日印刷版，標題為《微軟修復必應安全漏洞》