新发现的安全漏洞允许任何人冒充微软员工发送电子邮件

2024年06月19日 02:57 次阅读 稿源:cnBeta.COM 条评论

一名研究人员发现了一个漏洞,任何人都可以冒充微软公司的电子邮件账户,使网络钓鱼企图看起来可信,更有可能欺骗目标。截至目前,该漏洞尚未得到修补。为了演示该漏洞,研究人员向 媒体发送了一封邮件,看起来像是微软账户安全团队发送的。

图片.png

上周,网名为 Slonser 的 Vsevolod Kokorin 在 X(Twitter 的前身)上写道,他发现了电子邮件欺骗漏洞并向微软报告,但微软在表示无法重现他的发现后驳回了他的报告。这促使 Kokorin 在 X 上公布了这一漏洞,但没有提供技术细节以帮助其他人利用这一漏洞。

"微软只是说他们无法重现,但没有提供任何细节,"Koroin 在一次在线聊天中表示。"微软可能注意到了我的推文,因为几个小时前他们重新打开了[原文如此]我几个月前提交的一份报告。"

据 Kokorin 称,该漏洞仅在向 Outlook 账户发送电子邮件时有效。不过,根据微软最新的财报,其在全球至少有 4 亿用户。

科科林说,他最后一次与微软联系是在6月15日。

GQBKX79XEAAZStj.jpg

"我没想到我的帖子会引起如此大的反响。老实说,我只是想分享我的挫败感,因为这种情况让我很难过,"Kokorin说。"许多人误解了我,以为我想要钱或类似的东西。实际上,我只是希望公司不要忽视研究人员,当你试图帮助他们时,他们应该更加友好。"

目前还不清楚是否有 Kokorin 以外的其他人发现了这个漏洞,或者这个漏洞是否已被恶意利用。

尽管目前尚不清楚这一漏洞的威胁,但微软近年来已经历了多次安全问题,并引发了联邦监管机构和国会立法者的调查。

上周,微软总裁布拉德-史密斯(Brad Smith)在众议院听证会上作证,此前中国黑客于2023年从微软服务器上窃取了一批美国联邦政府电子邮件。史密斯在听证会上承诺,在经历了一系列安全丑闻之后,公司将继续努力把网络安全放在首位。

几个月前的一月份,微软证实,一个与俄罗斯政府有关联的黑客组织侵入了微软公司的电子邮件账户,窃取了公司高层对黑客本身的了解。上周,ProPublica 揭露,微软没有注意到关于一个关键漏洞的警告,该漏洞后来在俄罗斯支持的针对科技公司 SolarWinds 的网络间谍活动中被利用。

对文章打分

新发现的安全漏洞允许任何人冒充微软员工发送电子邮件

1 (50%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      Top 10

      招聘

      created by ceallan