Một nhà nghiên cứu đã phát hiện một lỗi cho phép bất kỳ ai giả mạo tài khoản email công ty của Microsoft, làm cho các cố gắng lừa đảo trở nên đáng tin cậy hơn và có khả năng đánh lừa mục tiêu của họ hơn.
Vào thời điểm viết bài này, lỗi này vẫn chưa được vá lỗi. Để minh họa lỗi, nhà nghiên cứu đã gửi một email đến TechCrunch có vẻ như được gửi từ đội ngũ bảo mật tài khoản của Microsoft.
Tuần trước, Vsevolod Kokorin, còn được biết đến trực tuyến với biệt danh Slonser, viết trên X (trước đây là Twitter) rằng anh đã tìm thấy lỗi giả mạo email và đã báo cáo cho Microsoft, nhưng công ty không chấp nhận báo cáo của anh sau khi nói rằng họ không thể mô phỏng lại những khám phá của anh. Điều này đã khiến Kokorin công bố lỗi trên X, mà không cung cấp chi tiết kỹ thuật giúp người khác khai thác nó.
Tôi muốn chia sẻ trường hợp gần đây của mình:
— slonser (@slonser_) 14 tháng 6, 2024
> Tôi đã tìm thấy một lỗ hổng cho phép gửi một tin nhắn từ bất kỳ người dùng nào@miền
> Chúng tôi không thể mô phỏng được nó
> Tôi gửi một video với việc khai thác, một bằng chứng đầy đủ
> Chúng tôi không thể mô phỏng lại nó
Vào thời điểm này, tôi quyết định dừng lại việc giao tiếp với Microsoft. pic.twitter.com/mJDoHTn9Xv
“Microsoft chỉ nói rằng họ không thể mô phỏng lại nó mà không cung cấp bất kỳ chi tiết nào,” Koroin nói với TechCrunch trong một cuộc trò chuyện trực tuyến. “Microsoft có thể đã chú ý đến tweet của tôi vì vài giờ trước họ đã mở lại [sai chính tả] một trong những báo cáo của tôi mà tôi đã gửi vài tháng trước đó.”
Theo Kokorin, lỗi chỉ hoạt động khi gửi email đến các tài khoản Outlook. Tuy nhiên, đó là một nhóm người dùng ít nhất là 400 triệu người trên khắp thế giới, theo báo cáo lợi nhuận mới nhất của Microsoft.
Kokorin nói rằng anh đã liên hệ với Microsoft lần cuối vào ngày 15 tháng 6. Microsoft không đáp lại yêu cầu bình luận của TechCrunch vào thứ Ba.
TechCrunch không tiết lộ chi tiết kỹ thuật của lỗi để ngăn chặn các hacker xấu khởi sự khai thác.
“Tôi không ngờ bài viết của mình sẽ nhận được phản ứng như vậy. Thật sự, tôi chỉ muốn chia sẻ sự thất vọng của mình vì tình huống này đã làm tôi buồn,” Kokorin nói. “Nhiều người hiểu lầm và nghĩ rằng tôi muốn tiền hoặc điều gì đó như vậy. Trên thực tế, tôi chỉ muốn các công ty không bỏ qua những nhà nghiên cứu và trở nên thân thiện hơn khi bạn cố gắng giúp họ.”
Không biết liệu có ai ngoài Kokorin tìm thấy lỗi hay không, hoặc liệu nó đã bị khai thác một cách ác ý hay không.
Mặc dù mức độ đe dọa của lỗi này không biết vào lúc này, Microsoft đã trải qua nhiều vấn đề bảo mật trong những năm gần đây, khiến cả hai cơ quan quản lý liên bang và các nhà lập pháp của quốc hội điều tra.
Tuần trước, tổng giám đốc của Microsoft Brad Smith đã làm chứng trong một cuộc điều trần của Hạ viện sau khi Trung Quốc đã đánh cắp một số email của chính phủ liên bang Mỹ từ máy chủ của Microsoft vào năm 2023. Trong cuộc điều trần, Smith cam kết nỗ lực tái thúc đẩy ưu tiên bảo mật mạng trong công ty sau một loạt những lúm xúm về bảo mật.
Vài tháng trước vào tháng 1, Microsoft xác nhận một nhóm hacker liên quan đến chính phủ Nga đã đột nhập vào các tài khoản email công ty Microsoft để đánh cắp thông tin về những gì các giám đốc cấp cao của công ty biết về những hacker họ đó. Và tuần trước, ProPublica tiết lộ rằng Microsoft đã không chú ý đến cảnh báo về một lỗ hổng quan trọng mà sau đó đã bị khai thác trong chiến dịch gián điệp mạng do Nga hậu thuẫn mà nhắm vào công ty công nghệ SolarWinds.
