Microsoft Bing 远程代码执行漏洞 CVE-2025-21355

网安百色 2025-02-20 11:39

点击上方
蓝字
关注我们吧~

Microsoft Bing 中缺少对关键功能的身份验证允许未经授权的攻击者通过网络执行代码

这个漏洞被归类为关键功能缺陷的身份验证缺失，给依赖于必应基础设施的组织和用户带来了重大风险。

必应漏洞允许代码执行

CVE-2025-21355源于关键的必应服务组件的认证机制不完善。攻击者可以通过网络利用该缺陷执行恶意代码，而不需要用户交互或事先进行身份验证。

这将使威胁行动者能够危害后端系统，操纵搜索结果，或泄漏驻留在Microsoft基础设施上的敏感数据。

虽然微软没有透露防止进一步攻击的具体技术细节，但安全分析人士推测，漏洞存在于必应的API或云服务层。

该漏洞基于网络的攻击向量表明，它可能是通过向未打补丁的服务器发出特殊请求来利用的，绕过身份验证检查来获得系统级权限。

作为微软服务的核心组件，必应集成了微软365、SharePoint和Azure Active Directory等企业工具。一个成功的漏洞攻击可以让攻击者：
– 劫持搜索算法以传播错误信息或恶意软件。

• 访问必应企业服务索引的内部企业数据。

• 破坏依赖于必应api的关键业务操作。

由于没有必要的身份验证，这个漏洞特别危险，因为攻击者可以在不破坏用户凭据的情况下发起大规模攻击。微软证实，该缺陷影响了Bing的所有服务层，包括消费者和企业部署。

缓解措施

微软已经完全缓解了其服务器上的漏洞，不需要终端用户或管理员采取任何行动。该公司通过发布CVE强调其“承诺透明化”，尽管此前该补丁已悄然部署。

这种方法与微软最近的战略相一致，即追溯地记录已解决的云服务漏洞，帮助企业审计其暴露时间线。

保安小组应：
1. 查看从漏洞出现到修补日期之间不寻常的Bing API活动日志。

1. 监视来自bing集成应用程序的意外数据流。

2. 更新可能缓存必应数据的依赖服务，确保没有残留破坏。

免责声明
：

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！