Um hacker indiano descobriu uma vulnerabilidade bem grave em servidores da Microsoft. A falha, quando explorada maliciosamente, permitia roubar contas do Office sem que a vítima percebesse que estava sofrendo um roubo de dados.

O esquema envolve uma série de bugs diferentes. Um deles está no fato do subdomínio success.office.com não ter sido propriamente configurado, permitindo ao hacker indiano Sahad Nk assumir o controle e enviar qualquer dado para ele. A partir disso, ele fez com que serviços como o Office, a Microsoft Store e o app Sway enviassem informações de credenciais de acesso para esse domínio.

Os serviços da Microsoft não deveriam confiar no subdomínio usado pelo hacker no golpe, mas uma falha faz com que eles aceitassem como se fosse pertencente de fato ao domínio office.com, usado pela Microsoft para o pacote de aplicativos de produtividade.

Assim, o hacker criou uma página falsa que continha um link e instruções para usuários supostamente acessarem a conta da Microsoft. Quando a pessoa entrava com as informações das credenciais no site malicioso, achava que tudo estava sob controle – o endereço parecia legítimo, e até mesmo a autenticação em duas etapas era solicitada e validada.

publicidade

Mas, em vez de acessar a conta da Microsoft, tudo o que a vítima fazia era repassar informações para os hackers – no caso, a página falsa conseguia armazenar o token de acesso de conta da Microsoft e repassava para um servidor. Esse token é tudo o que é necessário para controlar uma conta mesmo sem saber o nome de usuário e senha – ele armazena essas informações por conta própria. É um problema semelhante a um que afetou mais de 30 milhões de usuários do Facebook recentemente.

Assim, o golpe idealizado pelo hacker indiano permitia que ele assumisse controle de qualquer conta do Office – seja da versão corporativa, ou da para uso pessoal – e assim vasculhar e-mails, documentos e outros arquivos armazenados no serviço da Microsoft.

O hacker indiano contou com a ajuda do pesquisador de segurança Paulos Yibelo para relatar a falha para a Microsoft. A empresa diz já ter corrigido o problema e pagou uma recompensa aos descobridores da vulnerabilidade.