A Microsoft corrigiu uma vulnerabilidade no Teams que teria permitido a um hacker criar uma “mensagem bomba” capaz de invadir o computador da vítima e espalhar a mesma mensagem para outros contatos, ou interferir de várias maneiras com o funcionamento do serviço.
A exploração não exigia nenhum tipo de autorização ou confirmação – apenas a leitura do chat era suficiente para atacar o computador. O problema afetava as versões do Teams para Windows, macOS e Linux. Na versão web, o impacto ficaria restrito ao próprio Teams.
O problema foi identificado por Oskars Vegeris, que comunicou a Microsoft sobre o erro no dia 31 de agosto. O problema já foi corrigido, mas não foi informado exatamente quando a correção entrou no ar.
Em um texto publicado na web com os detalhes técnicos da vulnerabilidade, Vegeris criticou a Microsoft pela demora em tratar a questão – segundo o pesquisador, a Microsoft demorava “semanas” para responder a cada uma das suas mensagens. Mas o especialista também discordou da avaliação feita pela Microsoft sobre a gravidade do problema.
Na opinião da Microsoft, trata-se de uma brecha de baixo risco que permite apenas “spoofing” (jargão técnico para quando a autoria de uma comunicação é falsificada).
Mas Vegeris entende que essa classificação é incompleta, pois o problema permite executar códigos diretamente no computador de quem usa as versões do Teams para desktop (fora do navegador web). Brechas que resultam em execução de código são, normalmente, consideradas as mais graves.
‘Fora de escopo e de catálogo’
A avaliação da gravidade da falha feita pela Microsoft foi baseada no programa de “bug bounty” ou “recompensa por falhas” da empresa, que paga pesquisadores por relatos de vulnerabilidades.
Pelas regras do programa, o Microsoft Teams, quando executado diretamente no computador, está “fora de escopo”, ou seja, não é levado em conta pelo mesmo programa de recompensas que paga por falhas em serviços “em nuvem” do Office.
Por essa razão, os impactos da vulnerabilidade foram divididos entre duas classificações diferentes.
Quando explorada na versão “web” do Teams, a brecha não é capaz de executar códigos no computador – a não ser que haja também uma vulnerabilidade no navegador da vítima, que não teria relação com o Teams.
Dessa forma, no âmbito do programa de recompensas da Microsoft, a brecha é mais limitada do que em um cenário de ataque aos usuários com o aplicativo do Teams instalado.
Por estar localizada na infraestrutura de serviços da Microsoft, a brecha também não ganhou um número de catálogo. Falhas de segurança são catalogadas por meio de números conhecidos como “CVEs”.
Para a Microsoft, qualquer brecha em um serviço com atualização totalmente automática não receberá um CVE. O que justifica essa decisão é que usuários não precisam tomar medidas específicas – da mesma forma que qualquer serviço web, como redes sociais ou webmail, que tradicionalmente não recebem CVEs.
Por conta desses fatores, o efeito mais grave do problema relatado por Oskars Vegeris não rendeu a ele um prêmio em dinheiro da Microsoft, mas apenas “pontos” que valem para estabelecer sua posição em um “placar” dos especialistas independentes que mais contribuem com a segurança dos softwares da companhia.
Fonte: G1
