Pesquisadores de segurança digital da Wiz descobriram grave vulnerabilidade nos serviços da Microsoft, a exemplo o Bing e o Office 365. Criminosos poderiam utilizar a falha para expor dados de usuários e modificação de conteúdos da companhia em serviços oficiais.
A Wiz afirmou que uma brecha no Azure permitiu que cientistas alterassem os resultados de pesquisa do Bing. A falha permitia ainda o acesso a dados privados de usuários do Outlook, do Teams (por exemplo) e assinantes do Office 365.
A Wiz acessou central de comandos da Microsoft com conta Azure no app de perguntas Bing Trivia. Todavia, a conta obteve poderes administrativos a, conseguindo até mesmo acessar e mudar tabelas que apareciam na página dos resultados de busca.
Para teste, a empresa incluiu o filme “Hackers – Piratas de Computador”, de 1995, em uma lista que só deveria conter longas premiados por trilha sonora. Na página de busca, ele substituiu “Duna”, de 2021, como pode ser visto no vídeo acima.
Os pesquisadores relataram que também era possível adicionar mais conteúdos nesses resultados, como links para sites maliciosos. Outro teste da equipe obteve acesso a tokens válidos de usuários do Office 365, podendo extrair mensagens, detalhes de calendário e documentos.
A falha foi reportada pela Wiz à Microsoft em janeiro, com está já tendo corrigido-a via atualização nos códigos da plataforma. A gigante do Vale do Silício afirmou que não detectou uso ilegal da vulnerabilidade.
Via Olhardigital
