MICROSOFT "ISKULIRAO" STRUČNJAKA KOJI IH UPOZORAVAO: Doveli u opasnost 400 miliona korisnika e-pošte!

Autor: Darko Mulic

Tech - 21.06.2024. 08:35h

Istraživač je pronašao grešku koja dozvoljava svakome da se lažno predstavlja kao Microsoftov korporativni naloe e-pošte, čineći da pokušaji phishinga izgledaju verodostojno i da je veća verovatnoća da će prevariti svoje mete.

Da bi demonstrirao grešku, istraživač je poslao e-poruku TechCrunch-u koja je izgledala kao da je poslata od Microsoftovog tima za bezbednost naloga.

Prošle nedelje, Vsevolod Kokorin, takođe poznat na mreži kao Slonser, napisao je na X (bivši Twitter) da je pronašao grešku za lažiranje e-pošte i prijavio je Microsoftu, ali je kompanija odbacila njegov izveštaj nakon što je rekla da ne može da reprodukuje njegove nalaze. Ovo je navelo Kokorina da objavi grešku na X-u, bez davanja tehničkih detalja koji bi pomogli drugima da je iskoriste.

I want to share my recent case: > I found a vulnerability that allows sending a message from any user@domain > We cannot reproduce it > I send a video with the exploitation, a full PoC > We cannot reproduce it At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv
— slonser (@slonser_) June 14, 2024

- Microsoft je upravo rekao da ne mogu da ga reprodukuju bez davanja ikakvih detalja. Microsoft je možda primetio moj tweet jer su pre nekoliko sati ponovo otvorili jedan od mojih izveštaja koji sam podneo pre nekoliko meseci, rekao je Kokorin.

Greška, prema Kokorinovim rečima, funkcioniše samo pri slanju e-pošte na Outlook naloge. Ipak, to je skup od najmanje 400 miliona korisnika širom sveta.

Kokorin je rekao da je poslednji put kontaktirao Microsoft 15. juna

- Nisam očekivao da će moj post izazvati takvu reakciju. Iskreno, samo sam želeo da podelim svoju frustraciju jer me je ova situacija rastužila. Mnogi su me pogrešno razumeli i misle da želim novac ili tako nešto. U stvarnosti, samo želim da kompanije ne ignorišu istraživače i da budu prijateljski raspoložene kada pokušate da im pomognete, rekao je Kokorin.

Iako je pretnja ove greške, u ovom trenutku, nepoznata, Microsoft je iskusio nekoliko bezbednosnih problema poslednjih godina, što je podstaklo istrage i saveznih regulatora i kongresnih zakonodavaca.

Prošle nedelje, predsednik Microsoft Brad Smith svedočio je na saslušanju u Predstavničkom domu nakon što je Kina ukrala nekolicinu mejlova američke savezne vlade sa Microsoftovih servera 2023. Na saslušanju, Smith je obećao obnovljene napore da daju prioritet sajber bezbednosti u kompaniji nakon niza bezbednosnih neugodnosti.

Nekoliko meseci ranije, u januaru, Microsoft je potvrdio da je hakerska grupa povezana sa ruskom vladom provalila u Microsoftove korporativne imejlove da bi ukrala informacije o tome šta su najviši rukovodioci kompanije znali o samim hakerima. A prošle nedelje, ProPublica je otkrila da Microsoft nije poslušao upozorenja o kritičnoj mani koja je kasnije iskorišćena u kampanji sajber špijunaže koju podržava Rusija i koja je ciljala tehnološku kompaniju SolarWinds.