A Microsoft levou quase seis meses para corrigir duas vulnerabilidades que colocaram nossos dados em risco

Quando falamos de segurança em nossos computadores, sempre pensamos no roteador como o primeiro ponto que devemos monitorar. Nos preocupamos de controlar la seguridad en nuestro entorno pero ¿qué ocurre cuando esta no depende de nosotros? Si el fallo viene dado por las empresas que nos prestan sus servicios poco podemos fazer.

Nos referimos novamente à segurança dos nossos equipamentos e novamente devido a uma falha originada em grandes empresas. Se recentemente foi o Google que anunciou um erro que colocou em risco a segurança de milhões de usuários, agora é a Microsoft que comunicou que os dados dos usuários do Outlook, Microsoft Store… foram expostos a possíveis ataques

Um erro no domínio success.office.com pode ter colocado os usuários da Microsoft em risco. Isso é o que descobriu o pesquisador Sahad Nk para Safety Detective, que trouxe à tona duas vulnerabilidades que ameaçaram tudo, desde nossos documentos do Office até e-mails do Outlook.

Aparentemente, descobriu que o referido domínio não estava configurado corretamente Um bug que permitia que um aplicativo web fosse configurado do Azure apontando para o registro CNAME do domínio, para mapear aliases de domínio e subdomínios para o domínio principal. Isto permitiu-lhe ter o controlo total do domínio e, acima de tudo, e o mais importante, ter acesso a todos os dados que lhe foram enviados.

"

Naquele momento uma segunda violação de segurança ocorreuComo os aplicativos da Microsoft enviam tokens de login autenticados para o subdomínio http://success.office.com, no momento em que um usuário estava logado em algum aplicativo, seus dados foi enviado para o servidor de Sahad. E tudo isso sem que os usuários percebam."

Agora sabemos da existência dessas duas vulnerabilidades, que já foram corrigidas pela Microsoft O preocupante é o tempo em que que estes permaneceram ativos, os dados podem ter estado em risco. Os erros foram comunicados em junho e foram resolvidos em novembro, pelo que estão ativos há quase 6 meses.

Fonte | Detetive de Segurança