Una falla che permette a qualunque utente di Office 365 di ottenere i privilegi di Amministratore e controllare l'intero ambiente aziendale non è certo un problema da prendere sottogamba.

La scoperta di tale bug è avvenuta lo scorso 16 ottobre a opera di Alan Byrne, dipendente di Cogmotive, il quale ha immediatamente provveduto ad avvisare Microsoft. L'articolo continua qui sotto.

In pratica il bug consisteva nella mancata validazione, da parte del Portale di amministrazione di Office 365 dei nomi utente e delle informazioni sulla posta elettronica attinti da Windows Azure Active Directory.

Sullo stesso tema:

Windows 365 apre l'era del PC in streaming

Aggiornamento urgente per iPhone e iPad

Microsoft e Poste insieme per l'Italia digitale

Office arriva sull'iPhone

Byrne ha scoperto che era possibile modificare le informazioni mostrate nel campo Display Name in maniera tale da includere alcune istruzioni attendendo che un amministratore (senza nemmeno dover cliccare su qualcosa, ma semplicemente aprendo la pagina) le eseguisse: così è riuscito a creare un nuovo account con i permessi di amministrazione. L'articolo continua dopo il video.

Il lato positivo di tutta questa storia è che, almeno per quanto riguarda questo bug, ci si può rilassare: lo scorso 19 dicembre Microsoft lo ha corretto.

La notizia s'è diffusa soltanto adesso perché solo a metà gennaio Alan Byrne ha ricevuto da Microsoft l'autorizzazione a rivelare l'esistenza della falla e i dettagli dell'exploit.