Falha permitia que qualquer um enviasse e-mail "oficial" da Microsoft
Pesquisador revela falha de segurança que permite a impersonificação com e-mails de funcionários da Microsoft, o que aumenta riscos de phishing
Um pesquisador identificou uma vulnerabilidade crítica que permite a falsificação de e-mails de funcionários da Microsoft. Segundo Vsevolod Kokorin, a falha possibilita que qualquer pessoa utilize esses endereços e se passe por um membro da equipe de segurança de contas da Microsoft — o que pode ser explorado em golpes e tentativas de phishing.
Kokorin, também conhecido como Slonser nas redes sociais, divulgou a sua descoberta na plataforma X (o antigo Twitter) após receber respostas da Microsoft que desmereciam o seu alerta.
"Somos a Microsoft, e isto é um golpe"
Na publicação, Kokorin conta que descobriu a brecha para falsificação de e-mails e notificou a Microsoft. No entanto, a empresa desconsiderou o relatório e afirmou que "não conseguiu reproduzir a falha".
O pesquisador fez um novo alerta e encaminhou um vídeo para a dona do Windows, mas obteve novamente o mesmo retorno da empresa. Frustrado com a resposta, Kokorin decidiu tornar a falha pública, embora sem fornecer detalhes técnicos que poderiam facilitar a exploração do bug por terceiros.
Junto com o relato sobre os alertas feitos à Microsoft, Slonser anexou uma imagem que mostra o perigo da falsificação, com um e-mail enviado pelo endereço security@microsoft.com e a mensagem "Olá! Aqui é o time de segurança da Microsoft. Isto é um golpe" (em tradução livre).
I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv
— slonser (@slonser_) June 14, 2024
Ao site TechCrunch, Kokorin informou que a falha só é eficaz ao enviar e-mails para contas do Outlook. Apesar da especificidade, isso ainda representa um universo de cerca de 400 milhões de usuários de acordo com relatório da própria Microsoft.
O pesquisador contou ainda que não busca compensação financeira e que revelou a falha de segurança através do X para compartilhar a sua frustração e chamar a atenção das Big Techs para que sejam mais colaborativas com especialistas em segurança.
Casos de phishing
O relato de Kokorin chega em um momento crítico para a Microsoft no que se refere à segurança. Um levantamento recente revelou que a empresa é — de longe — a marca mais utilizada em ataques de phishing.
O estudo mostra que os hackers se aproveitam da marca para enviar comunicados falsos e solicitar que os colaboradores troquem suas senhas, refaçam a autenticação em duas etapas (2FA) ou até acessem um arquivo compartilhado no OneDrive. Sem saber, as vítimas acabam clicando em links falsos ou baixando arquivos maliciosos.
Para se proteger, as pessoas devem ficam atentas a e-mails de desconhecidos e a pedidos urgentes para realizar ações de seguranças — que muitas vezes são golpes.
Fonte: TechCrunch
Trending no Canaltech:
- Pernambucanas encerra venda de celulares devido ao mercado cinza
- Grande Mancha Vermelha de Júpiter é mais complexa do que se pensava
- Galaxy Buds 3 e Watch Ultra vazam em imagens de alta resolução
- Novo celular com design de Lumia 1020 tem detalhes vazados
- AstraZeneca "admite" efeito colateral raro de vacina da covid-19
- OMS alerta sobre nova variante de mpox e pede urgência
