Pesquisadores de segurança digital da Wiz descobriram uma grave vulnerabilidade nos serviços da Microsoft, como o Bing e o Office 365.
Criminosos poderiam usar a falha para expor dados de usuários e modificar conteúdos da empresa em serviços oficiais.
A Wiz afirmou que uma brecha no Azure permitiu que cientistas alterassem os resultados de pesquisa do Bing.
A falha permitia ainda o acesso a dados privados de usuários do Outlook, do Teams e assinantes do Office 365.
A Wiz acessou a central de comandos da Microsoft com uma conta Azure no aplicativo de perguntas Bing Trivia.
A conta obteve poderes administrativos e conseguiu até mesmo acessar e mudar tabelas que apareciam na página dos resultados de busca.
Para teste, a empresa incluiu o filme "Hackers - Piratas de Computador", de 1995, em uma lista que só deveria conter longas premiados por trilha sonora.
Na página de busca, ele substituiu "Duna", de 2021, como pode ser visto no vídeo acima.
Os pesquisadores relataram que também era possível adicionar mais conteúdos nesses resultados, como links para sites maliciosos.
Outro teste da equipe obteve acesso a tokens válidos de usuários do Office 365, podendo extrair mensagens, detalhes de calendário e documentos.
A falha foi reportada pela Wiz à Microsoft em janeiro e já foi corrigida pela empresa via atualização nos códigos da plataforma.
A gigante do Vale do Silício afirmou que não detectou uso ilegal da vulnerabilidade.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...