Os pesquisadores de segurança digital da Wiz descobriram uma vulnerabilidade grave em serviços da Microsoft, como o Bing e o Office 365. Se explorada de forma criminosa, a falha poderia levar à exposição de dados de usuários e modificação de conteúdos em serviços oficiais da empresa.
De acordo com o relato do grupo, uma brecha na plataforma de serviços na nuvem Azure permitiu que os cientistas alterassem resultados de pesquisa do buscador Bing. Além disso, a vulnerabilidade permitia acessar dados privados de quem tem uma conta Outlook, assina o pacote Office 65 e usa serviços como o Microsoft Teams.
Como funcionava a brecha
A Wiz conseguiu acessar uma central de comandos da Microsoft ao logar com uma conta Azure no aplicativo de quiz Bing Trivia. Porém, a conta recebeu poderes administrativos a mais e podia acessar ou até mesmo mudar tabelas que aparecem na página dos resultados de busca.
Como parte do teste, ela colocou o filme "Hackers - Piratas de Computador", de 1995, dentro de uma lista que só deveria ter produções que ganharam prêmios por trilha sonora. Ele substituiu a produção "Duna", de 2021.
Além disso, os pesquisadores notaram que era possível adicionar conteúdos nesses resultados, como links que redirecionassem usuários a sites ou downloads maliciosos. Em outro teste, a mesma conta conseguiu acesso a tokens válidos de usuários do Office 365, extraindo mensagens, detalhes de calendário e até documentos de uma conta criada só para ser o alvo.
Falha corrigida
Após descobrir e testar sem comprometer informações de terceiros, a equipe reportou a falha para a Microsoft em janeiro de 2023. Logo depois, a vulnerabilidade foi corrigida pela empresa por meio de uma atualização nos códigos da plataforma.
Segundo a companhia, nenhum tipo de uso ilegal da vulnerabilidade foi detectado.
Fontes