Qualquer pessoa pode enviar um email em nome da Microsoft – uma vulnerabilidade perigosa foi encontrada no Outlook

Vsevolod Kokorin, conhecido na Internet como Slonser, descobriu um bug que permite que o endereço do remetente nos e-mails seja substituído por endereços de e-mail corporativos da Microsoft, o que poderia tornar as tentativas de phishing muito mais fáceis para os invasores. Para demonstrar a vulnerabilidade, Kokorin criou um email em nome da equipe de segurança de contas da Microsoft. No momento o erro ainda não foi corrigido.

A exploração, segundo Kokorin, só funciona no envio de e-mails para contas do Outlook. No entanto, de acordo com os últimos dados da Microsoft, este grupo conta com pelo menos 400 milhões de utilizadores em todo o mundo. Anteriormente, Kokorin escreveu na rede social X que descobriu um erro de falsificação de e-mail e relatou à Microsoft, mas a empresa rejeitou seu relatório, dizendo que não poderia reproduzir suas ações. Isso levou Kokorin a publicar informações sobre o erro, omitindo os detalhes técnicos.

Fonte da imagem: Vsevolod Kokorin

Kokorin contatou a Microsoft pela última vez em 15 de junho. Mais tarde, ele disse: “A Microsoft pode ter notado meu tweet porque, algumas horas atrás, eles reabriram [sic] um dos meus relatórios que enviei há alguns meses”. “Muita gente me entende mal e pensa que quero dinheiro ou algo parecido”, acrescentou o pesquisador. “Eu realmente só quero que as empresas não ignorem os pesquisadores e sejam mais amigáveis ​​quando você tentar ajudá-los.”

No momento, não se sabe se alguém além de Kokorin encontrou esse erro. Há uma probabilidade diferente de zero de que ele possa ser usado por cibercriminosos; no entanto, nenhuma evidência dessa exploração sendo usada por invasores foi identificada até o momento. A Microsoft não quis comentar.

A Microsoft enfrentou vários problemas de segurança nos últimos anos, gerando investigações tanto por reguladores federais quanto por legisladores do Congresso. Em 2023, alguns e-mails do governo federal dos EUA foram roubados de servidores da Microsoft. Em janeiro, a Microsoft informou que um grupo de hackers havia hackeado contas de email corporativas da Microsoft. Recentemente, surgiu a informação de que uma vulnerabilidade crítica, ignorada pela Microsoft, já vinha sendo usada há muito tempo contra a empresa de tecnologia SolarWinds.

Na semana passada, em audiência na Câmara dos Deputados, a empresa prometeu concentrar seus esforços na segurança cibernética.