網絡釣魚通常會使用看起來相似的寄件地址,如果直接從「可信的」地址發出就更加令人防不勝防。有安全研究人員發現了 Microsoft 內部電郵系統的漏洞,任何人都可以冒充其帳戶發出郵件。
據報導指,截至目前該漏洞仍未得到修補。研究人員 Vsevolod Kokorin 在 X(前 Twitter)上透露,他發現了電子郵件系統的漏洞後,已經將其報告給 Microsoft,但被對方駁回,表示無法重現漏洞。Kokorin 因此公開披露漏洞,但沒有分享可能使其他人利用這一漏洞的技術細節,後來 Microsoft 則重新開始對漏洞進行調查。
I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv— slonser (@slonser_) June 14, 2024
據 Kokorin 的說法,該漏洞會影響發送到 Outlook 帳戶的電子郵件,而根據 Microsoft 最新的報告,全球至少有 4 億用戶使用 Outlook 帳戶。雖然存在潛在的嚴重性,但 Microsoft 尚未對此發表評論。Kokorin 表示披露漏洞後被不少人指責,但他強調自己的目的是鼓勵公司認真對待安全研究人員。
目前沒有證據表明該漏洞已被惡意利用,不過一如以往,面對要求作出行動或者登入系統的通知電郵,也需要保持警惕,就算寄件者看來正確也不能掉以輕心。
來源:TechCrunch