Microsoft levou 100 dias para consertar brecha em software corporativo

1 min de leitura
Imagem de: Microsoft levou 100 dias para consertar brecha em software corporativo
Imagem: linkedin

Não é só a Apple que pisa na bola a ponto de deixar qualquer maluco usar seu computador sem digitar uma senha. A Microsoft deixou passar uma falha talvez ainda mais absurda em sua suíte de aplicações corporativas Dynamics 365, desenvolvida para gestão empresarial na nuvem.

Em agosto deste ano, o desenvolvedor Matthias Gliwka encontrou uma falha nessa plataforma que permitia a qualquer hacker obter as chaves de criptografia individuais dos clientes do serviço. Gliwka estava investigando como a Microsoft havia configurado o servidor da plataforma e acabou descobrindo o problema.

Com essas chaves em mãos, criminosos poderiam interceptar todo o tráfego de dados do Dynamics 365 da empresa alvo, interceptando dados de clientes e da própria companhia sem ser detectado. Caso quisesse, o hacker poderia inclusive “sequestrar” o endereço do servidor e colocar um falso no lugar. Para piorar a situação, a Microsoft inda criou um certificado coringa que permitia o acesso a qualquer domínio “.sandbox.operations.dynamics.com”, usados para realizar operações seguras e isoladas na plataforma.

Grave o suficiente?

Gliwka informou em uma publicação no Medium que a Microsoft incialmente reconheceu a falha, mas explicou que ela não era grave o suficiente para ser consertada porque um hacker teoricamente precisaria de uma senha de administrador para ter acesso.

O desenvolvedor ficou meses tentando convencer a empresa de que se tratava de um problema grave e também mostrou como ele poderia exportar as chaves privadas usando um pequeno programa criado em C++.

Depois disso, ele entrou em contato novamente com a empresa pelo Twitter sobre a falha, e a companhia informou que o problema seria “consertado em breve”. Nesta semana, a brecha foi finalmente neutralizada, mais se passaram mais de 100 dias desde o primeiro aviso emitido pelo desenvolvedor sobre o problema.

O nível de “amadorismo” dessa falha está sendo comparado à brecha que a Apple deixou no macOS recentemente, que permitia a qualquer pessoa acesso a um computador da empresa sem precisar digitar uma senha.

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.