Não é só a Apple que pisa na bola a ponto de deixar qualquer maluco usar seu computador sem digitar uma senha. A Microsoft deixou passar uma falha talvez ainda mais absurda em sua suíte de aplicações corporativas Dynamics 365, desenvolvida para gestão empresarial na nuvem.
Em agosto deste ano, o desenvolvedor Matthias Gliwka encontrou uma falha nessa plataforma que permitia a qualquer hacker obter as chaves de criptografia individuais dos clientes do serviço. Gliwka estava investigando como a Microsoft havia configurado o servidor da plataforma e acabou descobrindo o problema.
Com essas chaves em mãos, criminosos poderiam interceptar todo o tráfego de dados do Dynamics 365 da empresa alvo, interceptando dados de clientes e da própria companhia sem ser detectado. Caso quisesse, o hacker poderia inclusive “sequestrar” o endereço do servidor e colocar um falso no lugar. Para piorar a situação, a Microsoft inda criou um certificado coringa que permitia o acesso a qualquer domínio “.sandbox.operations.dynamics.com”, usados para realizar operações seguras e isoladas na plataforma.
Grave o suficiente?
Gliwka informou em uma publicação no Medium que a Microsoft incialmente reconheceu a falha, mas explicou que ela não era grave o suficiente para ser consertada porque um hacker teoricamente precisaria de uma senha de administrador para ter acesso.
O desenvolvedor ficou meses tentando convencer a empresa de que se tratava de um problema grave e também mostrou como ele poderia exportar as chaves privadas usando um pequeno programa criado em C++.
@msftsecresponse Reported a leaked TLS private key for a cloud product >45 days ago - still no response. Can you take a look? Case #40397
— Matthias Gliwka (@cerebuild) 4 de outubro de 2017
Depois disso, ele entrou em contato novamente com a empresa pelo Twitter sobre a falha, e a companhia informou que o problema seria “consertado em breve”. Nesta semana, a brecha foi finalmente neutralizada, mais se passaram mais de 100 dias desde o primeiro aviso emitido pelo desenvolvedor sobre o problema.
O nível de “amadorismo” dessa falha está sendo comparado à brecha que a Apple deixou no macOS recentemente, que permitia a qualquer pessoa acesso a um computador da empresa sem precisar digitar uma senha.
Fontes
Categorias