这个安全漏洞允许任何人伪造微软员工的电子邮件

最近一名研究人员发现了一个漏洞,任何人都可以冒充微软公司的电子邮件账户,使网络钓鱼看起来可信,从而更有可能欺骗目标。
新闻资讯 安全 微软
2024-06-21 17:35:22  |   作者:开源爱好者  |   来源:

这个安全漏洞允许任何人伪造微软员工的电子邮件

最近一名研究人员发现了一个漏洞,任何人都可以冒充微软公司的电子邮件账户,使网络钓鱼看起来可信,从而更有可能欺骗目标。
新闻资讯 安全 微软
2024-06-21 17:35:22
作者:开源爱好者
来源:

最近一名研究人员发现了一个漏洞,任何人都可以冒充微软公司的电子邮件账户,使网络钓鱼看起来可信,从而更有可能欺骗目标。

图片1.jpg

为了演示这个漏洞,研究人员向 TechCrunch 发送了一封看起来像是微软账户安全团队发送的电子邮件。

上周,网名为 Slonser 的 Vsevolod Kokorin 在 X(前身为 Twitter)上写道,他发现了电子邮件欺骗漏洞并向微软报告,但微软表示无法重现他的发现,然后驳回了他的报告。这促使 Kokorin 在 X 上公布了这一漏洞,但没有提供有助于他人利用这一漏洞的技术细节。

Kokorin 在一次在线聊天中告诉 TechCrunch:“微软只是说他们无法重现,却没有提供任何细节。微软可能注意到了我的推文,因为几个小时前他们重新打开了我几个月前提交的一份报告。”

Kokorin 称,该漏洞仅在向 Outlook 账户发送电子邮件时有效。尽管如此,根据微软最新的财报,全球至少有 4 亿用户。

Kokorin 表示,他最后一次与微软联系是6月15日。微软周二没有回应 TechCrunch 的置评请求。

TechCrunch 没有透露该漏洞的技术细节,以防止恶意黑客利用该漏洞。

“我没想到我的帖子会引起如此大的反响。老实说,我只是想分享我的挫败感,因为这种情况让我很难过,”Kokorin 说,“许多人误解了我,以为我想要钱或类似的东西。实际上,我只是希望公司不要忽视研究人员,当你试图帮助他们时,应该更加友好。”

除了 Kokorin 之外,是否有其他人发现了这个漏洞,或者这个漏洞是否被恶意利用,目前还不得而知。

虽然目前还不知道这个漏洞的威胁有多大,但微软近年来已经经历了多次安全问题,引发了联邦监管机构和国会立法者的调查。

上周,微软总裁Brad Smith在众议院听证会上作证,因为2023年微软服务器被窃取了一批美国重要的电子邮件。他在听证会上承诺,在经历了一系列安全丑闻之后,公司将继续努力将网络安全放在首位。

几个月前的1月份,微软证实,一个黑客组织侵入了微软公司的电子邮件账户,窃取了公司高层对黑客了解的情况的信息。上周,ProPublica 揭露,微软没有注意到关于一个关键漏洞的警告,该漏洞后来在俄罗斯支持的针对SolarWinds公司的网络间谍活动中被利用。