Já pensou sua conta do Microsoft Office hackeada? Isso quase aconteceu
Uma sequência de bugs em uma plataforma da Microsoft, se atingidos em sequência, permitiriam um ataque certeiro contra a conta de um usuário do pacote de produtividade Office, simplesmente enganando-o para clicar em um link malicioso. A descoberta veio de Sahad Nk, um caçador de bugs indiano.
A informação foi divulgada no "Techcrunch" nesta terça-feira (11). De forma resumida, o especialista conseguiu controlar uma conta Microsoft, facilmente infiltrado no sistema legítimo de login da empresa.
O especialista descobriu que uma URL da Microsoft, success.office.com, não estava configurado corretamente, permitindo que um possível invasor assumisse o controle.
Ele usou um CNAME, um tipo de registro DNS (aqueles números e pontos ligados a URLS, como "208.67.222.222") usado para vincular um domínio a outro, para apontar o subdomínio não configurado para sua própria instância do Microsoft Azure, principal serviço de computação em nuvem da empresa.
Isso não seria um grande problema a princípio, mas Nk também descobriu que os aplicativos do pacote Office (versão paga para nuvem, e não aquela instalada diretamente no PC), Store e Sway poderiam ser enganados e poderiam enviarem tokens de login (como aqueles números que o WhatsApp te envia na hora de configurar o app) para o domínio recém-controlado.
Assim que a vítima clicasse em um link falso enviado por e-mail, por exemplo, o usuário faria login pelo sistema da Microsoft usando seu nome de usuário e senha, além do código de dois fatores, se a conta estivesse configurada com essa função.
A URL maliciosa é criada de uma forma que instrui o sistema de login da Microsoft a passar o token da conta para o subdomínio controlado, e assim o invasor poderia ter total acesso à conta. Seus e-mails, documentos e outros arquivos poderiam ter sido facilmente acessados assim.
Nk, com a ajuda de outro caçador de bugs, Paulos Yibelo, relatou o problema para a Microsoft, que já corrigiu a vulnerabilidade em novembro. A Microsoft pagou uma recompensa pelos esforços do indiano.
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.