A Microsoft corrigiu uma vulnerabilidade em seu sistema de login que, segundo os pesquisadores de segurança cibernética CyberArk, poderia ter sido usado para induzir usuário a darem acesso total as suas contas online. A brecha seria capaz de desviar alguns tokens da conta para acessá-las sem gerar desconfiança.

O bug permitia que os invasores roubassem discretamente os tokens da conta, usados para conceder aos usuários acesso a suas páginas sem exigir que eles digitassem constantemente suas senhas. Esses tokens são criados por um aplicativo ou site no lugar de um nome de usuário e senha após o login de um cliente, mantendo-o persistentemente conectado ao site e permitindo o acesso a aplicativos e endereços de terceiros sem precisar digitar as credenciais.

Foram encontrados dezenas de subdomínios não registrados conectados a um punhado de aplicativos da Microsoft. Estes programas internos são confiáveis e, como tal, subdomínios associados podem ser usados para gerar tokens de acesso automaticamente, sem a necessidade de consentimento explícito do usuário.

Com o subdomínio em mãos, tudo o que um invasor precisaria é se utilizar da engenharia social, induzindo a vítima a clicar em algum link malicioso criado em um e-mail ou site. Os pesquisadores explicam que em alguns casos isso poderia ser feito de forma “zero cliques”, ou seja, com praticamente nenhuma interação do usuário.

Felizmente, os pesquisadores registraram o maior número de subdomínios que puderam encontrar nos aplicativos vulneráveis da Microsoft para evitar qualquer uso malicioso indevido, mas alertaram sobre a possibilidade de haver mais.

A falha de segurança foi relatada para a empresa no final de outubro e corrigida três semanas depois. “Resolvemos o problema com os aplicativos mencionados neste relatório em novembro e os clientes permanecem protegidos”, afirmou um porta-voz da Microsoft.

Não é a primeira vez que a empresa de tecnologia necessita corrigir o bug em seus sistemas de login. Quase exatamente um ano atrás, a gigante de software e serviços corrigiu uma vulnerabilidade semelhante, na qual os pesquisadores tinham permissão para alterar os registros de um subdomínio da Microsoft configurado incorretamente e roubar tokens de contas do Office.

 

Via: TechCrunch