Николай Чикишев 19 чэрвеня 2024, 16:12

Уразлівасць Outlook дазваляе падрабляць лісты супрацоўнікаў Microsoft

Даследчык Усевалад Какорын выявіў уразлівасць у сістэме бяспекі паштовай праграмы Microsoft Outlook. Яна дазваляе выдаваць сябе за карпаратыўныя ўліковыя запісы.

Пакінуць каментарый

Уразлівасць Outlook дазваляе падрабляць лісты супрацоўнікаў Microsoft

Даследчык Усевалад Какорын выявіў уразлівасць у сістэме бяспекі паштовай праграмы Microsoft Outlook. Яна дазваляе выдаваць сябе за карпаратыўныя ўліковыя запісы.

Какорын звярнуўся ў Microsoft, але кампанія адхіліла яго паведамленне, заявіўшы, што не пацвярджае яго высноў пра ўразлівасць. Тады даследчык апублікаваў інфармацыю ў X, не паведаміўшы тэхнічных падрабязнасцяў, якія маглі б выкарыстоўваць іншыя карыстальнікі.

I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv
— slonser (@slonser_) June 14, 2024

Паводле слоў Какорына, памылка спрацоўвае толькі пры адпраўцы электронных лістоў ва ўліковых запісах Outlook. Паводле апошняй справаздачы Microsoft, аўдыторыя паштовай праграмы налічвае не менш за 400 мільёнаў карыстальнікаў. Для дэманстрацыі памылкі даследчык адправіў рэдакцыі TechCrunch ліст, які выглядала так, быццам адпраўлены са службы бяспекі Microsoft.

Апошнія гады кампанія не раз сутыкалася з праблемамі бяспекі ў паштовых сэрвісах. Напрыклад, прэзідэнт Microsoft заявіў на слуханнях у Кангрэсе, што кітайскія хакеры ў 2023 годзе атрымалі доступ да сервераў Microsoft і скралі некалькі электронных лістоў федэральнага ўрада ЗША.

У студзені гэтага года Microsoft пацвердзіла, што хакерская група, звязаная з расійскім урадам, узламала ўліковыя запісы карпаратыўнай пошты кампаніі.