Bug já foi corrigido pela Microsoft. Falha permitia roubar dados das contas do pacote Office sem que a vítima percebesse

O caçador de bugs Sahad Nk descobriu recentemente uma série de vulnerabilidades que deixaram as contas dos usuários do pacote de produtividade da Microsoft, incluindo o acesso a documentos a até mesmo aos e-mails do Outlook, suscetíveis a ataques hackers. 

O que Sahad descobriu foi que o subdomínio sucess.office.com não tinha sido configurado corretamente permitindo o fácil acesso não-autorizado. Sahad não apenas conseguiu assumir o controle do subdomínio, mas também receber todos e quaisquer dados enviados para ele.

A segunda grande vulnerabilidade entra na sequência. O pesquisador conseguiu fazer com que os aplicativos do Office, o Outlook, Store e Sway, enviassem tokens de login autenticados para o subdomínio mencionado. Dessa forma quando um usuário efetuava login no Microsoft Live (login.live.com), o token de login vazava para o servidor controlado por Sahad. Ele, então, só teria que enviar um e-mail para o usuário pedindo para clicar em um link, o que forneceria um token de sessão válido – uma maneira de fazer login na conta do usuário sem precisar do nome de usuário ou senha. Feito isso, um hacker mal-intencionado poderia obter qualquer tipo de informação salva em e-mails e em documentos.

Sahad descobriu a falha enquanto trabalhava para a SafetyDetective. As vulnerabilidades foram reportadas à Microsoft em junho e, segundo a SafetyDetective, consertadas em novembro.

 

Fonte Oficial: IDG Now!.

Comentários/Comments

Os textos, informações e opiniões publicados neste espaço são de total responsabilidade do(a) autor(a). Logo, não correspondem, necessariamente, ao ponto de vista do VIP CEO.