A Microsoft corrigiu uma vulnerabilidade em seu sistema de login que, segundo os pesquisadores de segurança cibernética CyberArk, poderia ter sido usado para induzir usuário a darem acesso total as suas contas online. A brecha seria capaz de desviar alguns tokens da conta para acessá-las sem gerar desconfiança.

Publicidade

O bug permitia que os invasores roubassem discretamente os tokens da conta, usados para conceder aos usuários acesso a suas páginas sem exigir que eles digitassem constantemente suas senhas. Esses tokens são criados por um aplicativo ou site no lugar de um nome de usuário e senha após o login de um cliente, mantendo-o persistentemente conectado ao site e permitindo o acesso a aplicativos e endereços de terceiros sem precisar digitar as credenciais.

Foram encontrados dezenas de subdomínios não registrados conectados a um punhado de aplicativos da Microsoft. Estes programas internos são confiáveis e, como tal, subdomínios associados podem ser usados para gerar tokens de acesso automaticamente, sem a necessidade de consentimento explícito do usuário.

Publicidade

Com o subdomínio em mãos, tudo o que um invasor precisaria é se utilizar da engenharia social, induzindo a vítima a clicar em algum link malicioso criado em um e-mail ou site. Os pesquisadores explicam que em alguns casos isso poderia ser feito de forma “zero cliques”, ou seja, com praticamente nenhuma interação do usuário.

publicidade

Felizmente, os pesquisadores registraram o maior número de subdomínios que puderam encontrar nos aplicativos vulneráveis da Microsoft para evitar qualquer uso malicioso indevido, mas alertaram sobre a possibilidade de haver mais.

A falha de segurança foi relatada para a empresa no final de outubro e corrigida três semanas depois. “Resolvemos o problema com os aplicativos mencionados neste relatório em novembro e os clientes permanecem protegidos”, afirmou um porta-voz da Microsoft.

Publicidade

Não é a primeira vez que a empresa de tecnologia necessita corrigir o bug em seus sistemas de login. Quase exatamente um ano atrás, a gigante de software e serviços corrigiu uma vulnerabilidade semelhante, na qual os pesquisadores tinham permissão para alterar os registros de um subdomínio da Microsoft configurado incorretamente e roubar tokens de contas do Office.

 

Via: TechCrunch

Publicidade