微软解决了其 Bing 搜索引擎的一个严重安全漏洞,编号为 CVE-2025-21355,该漏洞可能允许未经授权的攻击者远程执行任意代码。
该漏洞被归类为关键功能缺陷的缺失身份验证,对依赖 Bing 基础设施的组织和用户构成了重大风险。
该远程代码执行 (RCE) 漏洞的 CVSS 严重性最高评分为 9.8,是今年对微软生态系统最严重的威胁之一。
Bing 漏洞允许代码执行
CVE-2025-21355源于 Bing 服务关键组件的身份验证机制不足。攻击者可以通过网络利用此漏洞执行恶意代码,而无需用户交互或事先进行身份验证。
这将使威胁行为者能够破坏后端系统、操纵搜索结果或窃取托管在 Microsoft 基础设施上的敏感数据。
尽管微软尚未披露具体的技术细节以防止进一步利用,但安全分析师推测该漏洞存在于 Bing 的 API 或云服务层。
该漏洞的基于网络的攻击媒介表明它可以通过向未修补的服务器发送特制的请求来利用,绕过身份验证检查以获取系统级权限。
作为微软服务的核心组件,Bing 与 Microsoft 365、SharePoint 和 Azure Active Directory等企业工具集成。成功利用该漏洞攻击者可以:
-
劫持搜索算法来传播错误信息或恶意软件。 -
访问由 Bing Enterprise 服务索引的公司内部数据。 -
破坏依赖 Bing API 的关键业务运营。
由于缺乏必要的身份验证,该漏洞特别危险,因为攻击者无需泄露用户凭据即可发起大规模攻击。微软证实,该漏洞影响了所有 Bing 服务层,包括消费者和企业部署。
缓解措施
微软已完全缓解了其服务器上的漏洞,无需最终用户或管理员采取任何行动。尽管之前已悄悄部署了补丁,但该公司仍通过发布 CVE 强调了其“对透明度的承诺”。
这种方法与微软最近的策略相一致,即追溯记录已解决的云服务漏洞,帮助组织审核其暴露时间表。
建议安全团队:
-
查看日志,查找漏洞出现和修补日期之间异常的 Bing API 活动。 -
监控来自 Bing 集成应用程序的意外数据流。 -
更新可能缓存 Bing 数据的依赖服务,确保不会留下任何残留的损害。
微软鼓励各组织订阅其安全更新指南,以便实时收到新出现的威胁警报。对于此特定漏洞,无需进一步的用户干预,因为所有缓解措施均在服务器端应用。
原文始发于微信公众号(独眼情报):Microsoft Bing 漏洞使攻击者能够远程执行代码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论