一名研究人員發現了一個漏洞:任何人都可以冒充微軟公司的電子郵件帳戶,使網路釣魚企圖看起來可信,更有可能欺騙目標。
截至目前,該漏洞尚未得到修補。為了展示該漏洞,研究人員向 媒體傳送了一封郵件,看起來像是微軟帳戶安全團隊傳送的。
上週,網名為 Slonser 的 Vsevolod Kokorin 在 X(Twitter 的前身)上寫道,他發現了電子郵件欺騙漏洞並向微軟報告,但微軟在表示無法重現他的發現後駁回了他的報告。這促使 Kokorin 在 X 上公佈了這一漏洞,但沒有提供技術細節以幫助其他人利用這一漏洞。
「微軟只是說他們無法重現,但沒有提供任何細節,」Koroin 表示。「微軟可能注意到了我的推文,因為幾個小時前他們重新打開了我幾個月前向他們提交的一份報告。」
據 Kokorin 稱,該漏洞僅在向 Outlook 帳戶傳送電子郵件時有效。不過,根據微軟最新的財報,其在全球至少有 4 億使用者。
Kokorin 說,他最後一次與微軟聯絡是在6月15日。
「我沒想到我的帖子會引起如此大的反應。老實說,我只是想分享我的挫敗感,因為這種情況讓我很難過,」Kokorin說。「許多人誤解了我,以為我想要錢或類似的東西。實際上,我只是希望公司不要忽視研究人員,當你試圖幫助他們時,他們應該更加友好。」
目前還不清楚是否有 Kokorin 以外的其他人發現了這個漏洞,或者這個漏洞是否已被惡意利用。
儘管目前尚不清楚這一漏洞的威脅,但微軟近年來已經歷了多次安全問題,並引發了聯邦監管機構和國會立法者的調查。
上週,微軟總裁布拉德-史密斯(Brad Smith)在眾議院聽證會上作證,此前中國駭客於2023年從微軟伺服器上竊取了一批美國聯邦政府電子郵件。史密斯在聽證會上承諾,在經歷了一系列安全醜聞之後,公司將繼續努力把網路安全放在首位。
幾個月前的一月份,微軟證實,一個與俄羅斯政府有關聯的駭客組織侵入了微軟公司的電子郵件帳戶,竊取了公司高層對駭客本身的瞭解。上週,ProPublica 揭露,微軟沒有注意到關於一個關鍵漏洞的警告,該漏洞後來在俄羅斯支援的針對科技公司 SolarWinds 的網路間諜活動中被利用。
- 延伸閱讀:開發者注意!程式語言 PHP 發布最新安全更新,修補重大 RCE 漏洞
- 延伸閱讀:趨勢科技指出漏洞修補為資安防禦預防針,企業須知四大漏洞生命週期樣態
- 延伸閱讀:GPT-4 化身駭客搞破壞學會漏洞攻擊,成功率竟高達87%!OpenAI 要求保密提示詞
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!