Olhar Digital > Notícias > Bug no sistema de login da Microsoft deixa usuários vulneráveis

Bug no sistema de login da Microsoft deixa usuários vulneráveis

Brecha permitia invasores acessarem a conta das vitimas sem que desconfiassem
Redação04/12/2019 13h44, atualizada em 04/12/2019 15h20
20191129033540
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

A Microsoft corrigiu uma vulnerabilidade em seu sistema de login que, segundo os pesquisadores de segurança cibernética CyberArk, poderia ter sido usado para induzir usuário a darem acesso total as suas contas online. A brecha seria capaz de desviar alguns tokens da conta para acessá-las sem gerar desconfiança.

Ofertas
Tilibra - Agenda Costurada Diária 12,3 x 16,6 cm Charme 2026 - Flores fundo branco e roxo
Vendido por Amazon
Tilibra - Agenda Costurada Diária 12,3 x 16,6 cm Charme 2026 - Flores fundo branco e roxo
De: R$ 30,90
Por: R$ 27,81
Steal n Catch Memerot: Funny Meme Shooter Battle Game
Vendido por Amazon
Steal n Catch Memerot: Funny Meme Shooter Battle Game
Por R$ 53,49
meu jogo de pizza dos sonhos pronto: simulador divertido de cozinhar, assar e fazer comida
Vendido por Amazon
meu jogo de pizza dos sonhos pronto: simulador divertido de cozinhar, assar e fazer comida
Por R$ 21,79
Caderneta s Pastel, Cicero, 6726, Azul, Médio (14X21)
Vendido por Amazon
Caderneta s Pastel, Cicero, 6726, Azul, Médio (14X21)
De: R$ 79,99
Por: R$ 50,10
Tilibra - Estojo Triplo Grande Académie Azul
Vendido por Amazon
Tilibra - Estojo Triplo Grande Académie Azul
De: R$ 110,90
Por: R$ 67,95
Giz Pastel Oleoso Pentel Arts 12 Cores
Vendido por Amazon
Giz Pastel Oleoso Pentel Arts 12 Cores
De: R$ 17,90
Por: R$ 10,90
GoPro Max 360 - Câmera de Ação à Prova d'água, Vídeo 360 5.6K, Reenquadramento 4K, Foto 360, GPS, Live 1080p, Max HyperSmooth, TimeWarp, Trava de horizonte, Capturas com bastão invisível
Vendido por Amazon
GoPro Max 360 - Câmera de Ação à Prova d'água, Vídeo 360 5.6K, Reenquadramento 4K, Foto 360, GPS, Live 1080p, Max HyperSmooth, TimeWarp, Trava de horizonte, Capturas com bastão invisível
De: R$ 2.699,00
Por: R$ 2.069,90
Carregador de Pilhas AA/AAA com 2 Pilhas AA 2500mAh e 2 Pilhas AAA 1000mAh, Multilaser - CB045
Vendido por Amazon
Carregador de Pilhas AA/AAA com 2 Pilhas AA 2500mAh e 2 Pilhas AAA 1000mAh, Multilaser - CB045
De: R$ 89,90
Por: R$ 56,60
Adaptador Wireless TP-Link Archer T2U Nano USB
Vendido por Amazon
Adaptador Wireless TP-Link Archer T2U Nano USB
De: R$ 109,90
Por: R$ 75,85
SMS - NOBREAK LITE 600 - POTÊNCIA 600VA | 300W - BIVOLT ENT.: 115/ 220V | SAÍDA: 115V - 4 TOMADAS - SENOIDAL P/APROX. - LINE INTERACTIVE - PN 29202
Vendido por Amazon
SMS - NOBREAK LITE 600 - POTÊNCIA 600VA | 300W - BIVOLT ENT.: 115/ 220V | SAÍDA: 115V - 4 TOMADAS - SENOIDAL P/APROX. - LINE INTERACTIVE - PN 29202
De: R$ 616,58
Por: R$ 334,32
Película Para Kindle 11ª Geração 2024 e 2022 (RS23CV e C2V2L3) 6" Polegadas - Antirreflexo - Fosca – FD Acessórios
Vendido por Amazon
Película Para Kindle 11ª Geração 2024 e 2022 (RS23CV e C2V2L3) 6" Polegadas - Antirreflexo - Fosca – FD Acessórios
De: R$ 33,90
Por: R$ 23,83
Drone DJI Air 3S Fly More Combo (Com tela) BR - DJI056
Vendido por Amazon
Drone DJI Air 3S Fly More Combo (Com tela) BR - DJI056
Por R$ 17.180,00
PHILIPS, Fone de Ouvido Sem Fio TWS, TAT2500BK/00, Bluetooth, Com Cancelamento de Ruído Ativo ANC, Com Microfone, Até 24 horas de bateria, iPX4, Preto
Vendido por Amazon
PHILIPS, Fone de Ouvido Sem Fio TWS, TAT2500BK/00, Bluetooth, Com Cancelamento de Ruído Ativo ANC, Com Microfone, Até 24 horas de bateria, iPX4, Preto
De: R$ 156,00
Por: R$ 140,00
Microfone USB Gaming PC, Microfone RGB para PC/Notebook, Mic with Boom Arm, Microphone Condensador de mesa/Braço, Live, Podcast, Gravação de Audio, Karaoke, Gamer Youtuber DJ
Vendido por Amazon
Microfone USB Gaming PC, Microfone RGB para PC/Notebook, Mic with Boom Arm, Microphone Condensador de mesa/Braço, Live, Podcast, Gravação de Audio, Karaoke, Gamer Youtuber DJ
De: R$ 199,99
Por: R$ 178,49
Relógio Inteligente Smartwatch Feminino Masculino, com Tela AMOLED, AI ChatGPT, Chamadas Bluetooth, 150+ Monitoramento Esportivo, Chamadas Bluetooth,Relogio smartwatch iphone
Vendido por Amazon
Relógio Inteligente Smartwatch Feminino Masculino, com Tela AMOLED, AI ChatGPT, Chamadas Bluetooth, 150+ Monitoramento Esportivo, Chamadas Bluetooth,Relogio smartwatch iphone
Por R$ 299,99
soundcore Q11i da Anker Fone De Ouvido Bluetooth 5.3, Fone Gamer, Headphone Bluetooth Over-Ear, Graves Profundos, 60H Autonomia, Hi-Res Áudio, Almofadas Removíveis, Conexão Multiponto, Preto
Vendido por Amazon
soundcore Q11i da Anker Fone De Ouvido Bluetooth 5.3, Fone Gamer, Headphone Bluetooth Over-Ear, Graves Profundos, 60H Autonomia, Hi-Res Áudio, Almofadas Removíveis, Conexão Multiponto, Preto
De: R$ 259,35
Por: R$ 198,99
Bundle Nintendo Switch + Super Mario Bros. Wonder + 3 Meses de Assinatura Nintendo Switch Online
Vendido por Amazon
Bundle Nintendo Switch + Super Mario Bros. Wonder + 3 Meses de Assinatura Nintendo Switch Online
Por R$ 2.399,00
Notebook ASUS TUF Gaming A15, RTX 3050, AMD RYZEN 7, 8 GB, 512 GB SSD, KeepOS, Tela 15.6'' FHD, Graphite Black - FA506NCR-HN089
Vendido por Amazon
Notebook ASUS TUF Gaming A15, RTX 3050, AMD RYZEN 7, 8 GB, 512 GB SSD, KeepOS, Tela 15.6'' FHD, Graphite Black - FA506NCR-HN089
De: R$ 5.299,00
Por: R$ 3.999,00
Havit Headphone Fone de Ouvido H2002d Pink, Gamer, com Microfone, Falante 53mm, Plug 3, 5mm: compatível com XBOX ONE e PS4, HAVIT, HV-H2002d Cor Rosa
Vendido por Amazon
Havit Headphone Fone de Ouvido H2002d Pink, Gamer, com Microfone, Falante 53mm, Plug 3, 5mm: compatível com XBOX ONE e PS4, HAVIT, HV-H2002d Cor Rosa
De: R$ 229,00
Por: R$ 160,65
Roku Streaming Stick HD 2025 | Dispositivo de streaming para TV HD/FHD com controle remoto por comando de voz compatível com Alexa, Siri e Google
Vendido por Amazon
Roku Streaming Stick HD 2025 | Dispositivo de streaming para TV HD/FHD com controle remoto por comando de voz compatível com Alexa, Siri e Google
De: R$ 289,90
Por: R$ 187,00
EMEET Webcam 4K, webcam S600 com tripé, 2 microfones de redução de ruído, FOV ajustável de 40° a 73°, foco automático PDAF, capa de privacidade integrada, câmera de streaming para jogos, chamadas de
Vendido por Amazon
EMEET Webcam 4K, webcam S600 com tripé, 2 microfones de redução de ruído, FOV ajustável de 40° a 73°, foco automático PDAF, capa de privacidade integrada, câmera de streaming para jogos, chamadas de
Por R$ 419,99
soundcore P30i by Anker, Fones de Ouvido com Cancelamento de Ruído, Graves Poderosos, 45H de Reprodução, Estojo 2-em-1 com Suporte para Celular, IP54, Bluetooth 5.4, Fones Sem Fio
Vendido por Amazon
soundcore P30i by Anker, Fones de Ouvido com Cancelamento de Ruído, Graves Poderosos, 45H de Reprodução, Estojo 2-em-1 com Suporte para Celular, IP54, Bluetooth 5.4, Fones Sem Fio
De: R$ 369,00
Por: R$ 209,90
soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável
Vendido por Amazon
soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável
De: R$ 249,00
Por: R$ 166,19
HD Externo Toshiba 1TB Canvio Basics Preto HDTB510XK3AA
Vendido por Amazon
HD Externo Toshiba 1TB Canvio Basics Preto HDTB510XK3AA
De: R$ 464,65
Por: R$ 330,00

O bug permitia que os invasores roubassem discretamente os tokens da conta, usados para conceder aos usuários acesso a suas páginas sem exigir que eles digitassem constantemente suas senhas. Esses tokens são criados por um aplicativo ou site no lugar de um nome de usuário e senha após o login de um cliente, mantendo-o persistentemente conectado ao site e permitindo o acesso a aplicativos e endereços de terceiros sem precisar digitar as credenciais.

Foram encontrados dezenas de subdomínios não registrados conectados a um punhado de aplicativos da Microsoft. Estes programas internos são confiáveis e, como tal, subdomínios associados podem ser usados para gerar tokens de acesso automaticamente, sem a necessidade de consentimento explícito do usuário.

Com o subdomínio em mãos, tudo o que um invasor precisaria é se utilizar da engenharia social, induzindo a vítima a clicar em algum link malicioso criado em um e-mail ou site. Os pesquisadores explicam que em alguns casos isso poderia ser feito de forma “zero cliques”, ou seja, com praticamente nenhuma interação do usuário.

Felizmente, os pesquisadores registraram o maior número de subdomínios que puderam encontrar nos aplicativos vulneráveis da Microsoft para evitar qualquer uso malicioso indevido, mas alertaram sobre a possibilidade de haver mais.

A falha de segurança foi relatada para a empresa no final de outubro e corrigida três semanas depois. “Resolvemos o problema com os aplicativos mencionados neste relatório em novembro e os clientes permanecem protegidos”, afirmou um porta-voz da Microsoft.

Não é a primeira vez que a empresa de tecnologia necessita corrigir o bug em seus sistemas de login. Quase exatamente um ano atrás, a gigante de software e serviços corrigiu uma vulnerabilidade semelhante, na qual os pesquisadores tinham permissão para alterar os registros de um subdomínio da Microsoft configurado incorretamente e roubar tokens de contas do Office.

 

Via: TechCrunch

Redator(a)

Redação é redator(a) no Olhar Digital

Ícone tagsTags: