Falha grave no Bing e Office permitia mudar buscas e roubar dados

1 min de leitura
Imagem de: Falha grave no Bing e Office permitia mudar buscas e roubar dados
Imagem: GettyImages

Os pesquisadores de segurança digital da Wiz descobriram uma vulnerabilidade grave em serviços da Microsoft, como o Bing e o Office 365. Se explorada de forma criminosa, a falha poderia levar à exposição de dados de usuários e modificação de conteúdos em serviços oficiais da empresa.

De acordo com o relato do grupo, uma brecha na plataforma de serviços na nuvem Azure permitiu que os cientistas alterassem resultados de pesquisa do buscador Bing. Além disso, a vulnerabilidade permitia acessar dados privados de quem tem uma conta Outlook, assina o pacote Office 65 e usa serviços como o Microsoft Teams.

Como funcionava a brecha

A Wiz conseguiu acessar uma central de comandos da Microsoft ao logar com uma conta Azure no aplicativo de quiz Bing Trivia. Porém, a conta recebeu poderes administrativos a mais e podia acessar ou até mesmo mudar tabelas que aparecem na página dos resultados de busca.

Como parte do teste, ela colocou o filme "Hackers - Piratas de Computador", de 1995, dentro de uma lista que só deveria ter produções que ganharam prêmios por trilha sonora. Ele substituiu a produção "Duna", de 2021.

Além disso, os pesquisadores notaram que era possível adicionar conteúdos nesses resultados, como links que redirecionassem usuários a sites ou downloads maliciosos. Em outro teste, a mesma conta conseguiu acesso a tokens válidos de usuários do Office 365, extraindo mensagens, detalhes de calendário e até documentos de uma conta criada só para ser o alvo.

Falha corrigida

Após descobrir e testar sem comprometer informações de terceiros, a equipe reportou a falha para a Microsoft em janeiro de 2023. Logo depois, a vulnerabilidade foi corrigida pela empresa por meio de uma atualização nos códigos da plataforma.

Segundo a companhia, nenhum tipo de uso ilegal da vulnerabilidade foi detectado.

Fontes

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.