Topo

Tecnologia

Segurança

Já pensou sua conta do Microsoft Office hackeada? Isso quase aconteceu

Divulgação
Microsoft Office 365 Imagem: Divulgação

Márcio Padrão

Do UOL, em São Paulo

12/12/2018 18h31

Uma sequência de bugs em uma plataforma da Microsoft, se atingidos em sequência, permitiriam um ataque certeiro contra a conta de um usuário do pacote de produtividade Office, simplesmente enganando-o para clicar em um link malicioso. A descoberta veio de Sahad Nk, um caçador de bugs indiano.

A informação foi divulgada no "Techcrunch" nesta terça-feira (11). De forma resumida, o especialista conseguiu controlar uma conta Microsoft, facilmente infiltrado no sistema legítimo de login da empresa.

O especialista descobriu que uma URL da Microsoft, success.office.com, não estava configurado corretamente, permitindo que um possível invasor assumisse o controle.

De olho nas falhas do Face

Hacker belga procura problemas de segurança nas redes sociais

Leia a entrevista

Ele usou um CNAME, um tipo de registro DNS (aqueles números e pontos ligados a URLS, como "208.67.222.222") usado para vincular um domínio a outro, para apontar o subdomínio não configurado para sua própria instância do Microsoft Azure, principal serviço de computação em nuvem da empresa.

Isso não seria um grande problema a princípio, mas Nk também descobriu que os aplicativos do pacote Office (versão paga para nuvem, e não aquela instalada diretamente no PC), Store e Sway poderiam ser enganados e poderiam enviarem tokens de login (como aqueles números que o WhatsApp te envia na hora de configurar o app) para o domínio recém-controlado.

Assim que a vítima clicasse em um link falso enviado por e-mail, por exemplo, o usuário faria login pelo sistema da Microsoft usando seu nome de usuário e senha, além do código de dois fatores, se a conta estivesse configurada com essa função.

A URL maliciosa é criada de uma forma que instrui o sistema de login da Microsoft a passar o token da conta para o subdomínio controlado, e assim o invasor poderia ter total acesso à conta. Seus e-mails, documentos e outros arquivos poderiam ter sido facilmente acessados assim.

Nk, com a ajuda de outro caçador de bugs, Paulos Yibelo, relatou o problema para a Microsoft, que já corrigiu a vulnerabilidade em novembro. A Microsoft pagou uma recompensa pelos esforços do indiano.

Facebook Messenger

Receba as principais notícias do dia. É de graça!

Newsletters

Para começar e terminar o dia bem informado.

Quero receber