Uma vulnerabilidade grave em serviços da Microsoft, como o Bing e o Office 365, foi descoberta por pesquisadores de segurança digital da Wiz. Se explorada criminosamente, a falha poderia levar à exposição de dados de usuários e modificação de conteúdos em serviços oficiais da empresa.
Segundo o relato do grupo, foi através de uma brecha na plataforma de serviços na nuvem Azure permitiu que os cientistas alterassem resultados de pesquisa do buscador Bing. A vulnerabilidade permitia acessar dados privados de quem tem uma conta Outlook, assina o pacote Office 65 e usa serviços como o Microsoft Teams.
Como funcionava a brecha
Ao logar com uma conta Azure no aplicativo de quiz Bing Trivia, a Wiz conseguiu acessar uma central de comandos da Microsoft. A conta acabou recebendo poderes administrativos a mais e podia acessar ou até mesmo mudar tabelas que aparecem na página dos resultados de busca.
Como teste, colocaram o filme “Hackers – Piratas de Computador”, de 1995, em uma lista que só deveria ter produções que ganharam prêmios por trilha sonora. Ele substituiu a produção “Duna”, de 2021.
Os pesquisadores notaram que era possível adicionar conteúdos nesses resultados, como links que redirecionassem usuários a sites ou downloads maliciosos. Em outro teste, a mesma conta conseguiu acesso a tokens válidos de usuários do Office 365, extraindo mensagens, detalhes de calendário e até documentos de uma conta criada só para ser o alvo.
Corrigida
Após descobrir e testar sem comprometer informações, reportaram a falha para a Microsoft em janeiro de 2023. Logo depois, a vulnerabilidade foi corrigida pela empresa por meio de uma atualização nos códigos da plataforma. Segundo a companhia, nenhum tipo de uso ilegal da vulnerabilidade foi detectado.
