Home  >  Segurança

Vulnerabilidade é detectada em contas do pacote Office

Falhas foram reportadas à Microsoft em junho e, segundo a SafetyDetective, consertadas em novembro

Da Redação

13/12/2018 às 15h39

Foto: Shutterstock

Vulnerabilidades em contas de usuários do pacote de produtividade da Microsoft, o Office, foram identificadas. A descoberta do caçador de bugs Sahad Nk inclui o acesso a documentos a até mesmo aos e-mails do Outlook, suscetíveis a ataques hackers.

Sahad descobriu foi que o subdomínio sucess.office.com não tinha sido configurado corretamente permitindo o fácil acesso não-autorizado. O caçador de bugs não apenas conseguiu assumir o controle do subdomínio, mas também receber todos e quaisquer dados enviados para ele.

A segunda grande vulnerabilidade entra na sequência. O pesquisador conseguiu fazer com que os aplicativos do Office, o Outlook, Store e Sway, enviassem tokens de login autenticados para o subdomínio mencionado. Dessa forma quando um usuário efetuava login no Microsoft Live (login.live.com), o token de login vazava para o servidor controlado por Sahad. Ele, então, só teria que enviar um e-mail para o usuário pedindo para clicar em um link, o que forneceria um token de sessão válido - uma maneira de fazer login na conta do usuário sem precisar do nome de usuário ou senha. Feito isso, um hacker mal-intencionado poderia obter qualquer tipo de informação salva em e-mails e em documentos.

Sahad descobriu a falha enquanto trabalhava para a SafetyDetective. As vulnerabilidades foram reportadas à Microsoft em junho e, segundo a SafetyDetective, consertadas em novembro.