資安研究人員Vsevolod Kokorin(Slonser)聲稱,他發現可假冒微軟資安團隊的欺騙漏洞,攻擊者可藉此從任意的來源,向用戶發送訊息。
然而,這名研究人員指出,微軟收到他的通報資料後表示,他們無法重現漏洞,即使是研究人員補充提供完整的概念性驗證(PoC)攻擊影片,該公司仍舊回覆無法完成相關驗證。對此,Vsevolod Kokorin表示決定停止繼續溝通,並公開此事,但並未透露細節,以防有人試圖利用。
根據研究人員的推文內容,我們難以判斷漏洞的影響範圍,究竟存在漏洞可被利用的是收信軟體Outlook,還是雲端電子郵件信箱服務Outlook.com,抑或是其他的環節?目前仍不得而知。
I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv— slonser (@slonser_) June 14, 2024
這名研究人員也向科技新聞網站TechCrunch展示這項漏洞,該媒體也確實收到看起來像是從微軟帳號資安團隊寄來的電子郵件。研究人員向該媒體透露,這項弱點只會在攻擊者寄信給Outlook的使用者帳號才會出現。
針對通報漏洞的過程,研究人員向TechCrunch透露,當時微軟回覆表示,在沒有提供細節的情況下,該公司無法重現漏洞。但當他透過X公開此事的數個小時後,微軟似乎留意到他的推文,並重新檢視數個月前通報的內容。是否有其他人發現這項漏洞,並將其用於攻擊行動?目前仍不得而知,也不清楚微軟是否對漏洞進行了修補。微軟也並未針對此事進行公開說明。
值得留意的是,TechCrunch提及了去年傳出中國駭客組織Storm-0558濫用外流的MSA簽章金鑰,存取25個歐美政府組織的Outlook Web Access in Exchange Online(OWA)、Outlook.com電子郵件信箱的事故,根據這項說法,研究人員發現的漏洞,很有可能出現於Outlook.com。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29