O pesquisador Vsevolod Kokorin descobriu uma vulnerabilidade que permite que hackers enviem e-mails sob o domínio corporativo da Microsoft. Ao explorar a falha, qualquer pessoa pode enviar um email como se fosse de um endereço oficial da empresa, incluindo de funcionários.
Kokorin, conhecido online pelo apelido de Slonser, disse ao TechCrunch que reportou a vulnerabilidade à Microsoft assim que a descobriu. Para comprovar a falha, ele enviou um e-mail para o site de notícias que parecia ser legítimo da equipe de segurança da Microsoft.
Ele também afirmou que o bug só funciona quando a mensagem é enviada para endereços de contas do Outlook. De acordo com o último balanço financeiro da companhia, há pelo menos 400 milhões de contas do Outlook ativas em todo o mundo. O serviço é o principal concorrente global do Gmail.
Falha permite que hacker imitem e-mails corporativos da Microsoft. (Imagem: Getty Images)Fonte: GettyImages
Mesmo sendo uma falha grave, o pesquisador não foi levado a sério. Ele disse que a Microsoft encerrou seu contato afirmando que não conseguiu reproduzir o bug reportado. A empresa não especificou nenhum tipo de anomalia na tentativa.
Na semana passada, Kokorin publicou sobre a falha em sua conta no X, sem fornecer detalhes de como ela poderia ser explorada. No post, ele reproduziu sua conversa com a big tech, alertando que poderia utilizar qualquer um de seus endereços corporativos. O pesquisador chegou a enviar um vídeo para explicar como a falha ocorre.
Só após a exposição pública da vulnerabilidade no X é que a Microsoft abriu uma das mensagens enviadas por Kokorin a respeito do bug. A mensagem tinha sido enviada há meses, segundo o pesquisador. Atualmente, a vulnerabilidade segue sem correção.
Em resposta ao pesquisador, a empresa disse que não conseguiu reproduzir a vulnerabilidade. (Imagem: Getty Images)Fonte: GettyImages
Roubo de e-mails dos EUA em 2023
A descoberta de Kokorin segue a “maré de azar” em segurança que a Microsoft tem enfrentado nos últimos anos.
No ano passado, a empresa admitiu que hackers chineses exploraram uma falha de código e se apropriaram indevidamente de suas chaves digitais. O ataque permitiu o roubo de e-mails de agências governamentais do governo americano.
