O código "prova-de-conceit" foi lançado na quarta-feira (28/4), duas semanas depois que a consultoria de segurança High-Tech Bridge afirmou ter informado a questão para a Microsoft, no dia 12/4.
A Microsoft não entrou em detalhes sobre a falha, mas especialistas de segurança estão preocupados: crackers poderiam explorar a vulnerabilidade para roubar informações corporativas delicadas utilizadas por clientes do SharePoint, que constroem portais da web e colaboram em projetos internos com o software.
A High-Tec Bridge descobriu algo que é conhecido como uma falha de script cross-site no SharePoint. Se o cracker conseguir que o usuário do software clique em um link, o bug permite a ele controlar a conta do usuário.
“Com pouco conhecimento você pode enviar um link para um usuário do SharePoint, e se você conseguir fazer um script cross-site, será possível extrair quaisquer dados que a conta tenha acesso”, afirmou o chefe de tecnologias da consultoria de segurança WhiteHat Security, Jeremiah Grossman.
“Uma exploração com sucesso dessa vulnerabilidade pode resultar em comprometimento da aplicação, roubo de credenciais de autenticação baseadas em cookies, divulgação ou modificação de dados sensíveis”, afirmou a empresa.
A Microsoft reproduziu a falha em seus sistemas internos e está trabalhando em um alerta de segurança que incluirá mais informações sobre o problema e o que os clientes podem fazer para tornar seus sistemas seguros, afirmou o administrador de segurança da companhia, Jerry Bryant.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário