Publicidade

Bug no sistema de login da Microsoft daria acesso a contas de usuários do Office

Por| 11 de Dezembro de 2018 às 15h45

Link copiado!

Bug no sistema de login da Microsoft daria acesso a contas de usuários do Office
Bug no sistema de login da Microsoft daria acesso a contas de usuários do Office
Tudo sobre Microsoft

De acordo com descobertas do "caçador de bugs" indiano, Shadad Nk, um subdomínio da Microsoft (success.office.com) estava mal configurado, e uma sequência de bugs abriu portas para que qualquer invasor conseguisse acessar a conta do Office de usuários, enganando-os para abrir o tal link e fazer o login por ali.

Ele usou um registro CNAME, que é usado para vincular um domínio a outro, para apontar o subdomínio não configurado à sua própria instância na nuvem Azure. Então, o pesquisador controlou o subdomínio, bem como quaisquer dados enviados a ele.

Nk também descobriu que apps do Office, Store e Sway poderiam ser enganados a enviarem seus tokens de login autenticados para aquele seu domínio recém controlado, depois de o usuário fazer login pelo sistema da Microsoft. É que os apps vulneráveis usam um regex curinga, que permite que todo o site office.com pareça confiável. Assim que a vítima clica em no link (enviado por e-mail se passando por uma mensagem autêntica da Microsoft) e ali faz o login com seus reais nomes de usuário e senha, um token de acesso à conta é criado. Com acesso a esse token, o invasor poderia acessar a conta do usuário sem dificuldade, e também sem gerar suspeitas.

Ou seja: a conta do Office de qualquer usuário, incluindo os corporativos, poderia ser acessada facilmente por um invasor mal-intencionado sem que nenhum rastro da invasão fosse deixado. Nk relatou o bug à Microsoft, que rapidamente corrigiu a vulnerabilidade em novembro deste ano, pagando um valor não informado como recompensa ao autor da descoberta.

Continua após a publicidade

Fonte: TechCrunch