Falha no sistema de login da Microsoft colocava usuários em risco

A Microsoft corrigiu uma vulnerabilidade no seu sistema de login. O bug poderia ter sido utilizado para induzir vítimas a permitir acesso total às suas contas, de acordo com pesquisadores que descobriram a falha. As informações são do TechCrunch. Com a falha, os invasores conseguiriam roubar discretamente os tokens das contas, que sites e aplicativos utilizam para conceder aos usuários acesso sem que as senhas precisem ser digitadas constantemente.

Esses tokens são criados para substituir o nome de usuário e senha após o login, mantendo o usuário conectado. Pesquisadores da empresa de segurança cibernética CyberArk descobriram que a Microsoft deixou aberta uma brecha acidentalmente que, se explorada, poderia ter sido usada para desviar esses tokens ​​para acessar a conta da vítima.

O estudo, compartilhado exclusivamente com o TechCrunch, encontrou dezenas de subdomínios não registrados conectados a diversos aplicativos criados pela Microsoft. Com os subdomínios em mãos, tudo o que os invasores precisariam fazer seria induzir a vítima a clicar em um link especialmente criado.

Conforme explicado pelos pesquisadores, em alguns casos, o roubo do token poderia ser feito de forma “zero clique”, o que, como o nome sugere, requer praticamente nenhuma interação do usuário.

Felizmente, os pesquisadores registraram o maior número de subdomínios que puderam encontrar nos aplicativos vulneráveis ​​para evitar qualquer uso indevido, mas alertaram que podem haver mais.

A falha de segurança foi relatada à Microsoft no final de outubro e corrigida três semanas depois.