Il ricercatore Vsevolod Kokorin ha trovato un bug he permette a chiunque di falsificare e inviare email che sembrano provenire dai veri account email aziendali di Microsoft. In questo modo, gli hacker potrebbero più facilmente ingannare le vittime, facendo apparire le email di phishing più credibili, come se fossero realmente inviate dall’azienda stessa.
Questa falla aumenta quindi in modo significativo il rischio di attacchi di phishing riusciti ai danni di chi utilizza i servizi Microsoft, in quanto è più facile cadere nell’inganno di email fasulle ma apparentemente autentiche.
Segnalazione e reazione di Microsoft
Il ricercatore Vsevolod Kokorin aveva inizialmente segnalato il bug a Microsoft. Tuttavia, l’azienda aveva respinto la sua segnalazione, dicendo di non essere in grado di riprodurre il problema riscontrato. Dopo questa risposta negativa, Kokorin ha deciso di rendere pubblica l’esistenza della falla, senza però fornire i dettagli tecnici che avrebbero potuto consentirne lo sfruttamento da parte di hacker malintenzionati.
Kokorin afferma di aver contattato Microsoft per l’ultima volta il 15 giugno in merito alla questione. Stando a quanto da lui riportato, il bug funziona solo quando vengono inviate email verso account Outlook, un bacino che conta oltre 400 milioni di utenti in tutto il mondo secondo i rapporti finanziari di Microsoft.
Kokorin ha affermato di aver condiviso il bug per esprimere la sua frustrazione e non per ottenere denaro o altro. Ha sottolineato che molte persone lo hanno frainteso, pensando che volesse lucrare sulla scoperta, ma il suo obiettivo è quello di sensibilizzare le aziende affinché non ignorino le segnalazioni dei ricercatori e siano più collaborative quando si tratta di sicurezza.
I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv— slonser (@slonser_) June 14, 2024
Precedenti problemi di sicurezza Microsoft
Non è noto se altri abbiano scoperto o sfruttato il bug. Tuttavia, Microsoft ha affrontato diversi problemi di sicurezza negli ultimi anni, che hanno portato le autorità di regolamentazione federali e i legislatori del Congresso a indagare.
La scorsa settimana, il presidente di Microsoft Brad Smith ha testimoniato in un’audizione alla Camera dopo che la Cina ha rubato una tranche di e-mail del governo federale degli Stati Uniti dai server di Microsoft nel 2023. Nel corso dell’audizione, Smith ha promesso un rinnovato sforzo per dare priorità alla sicurezza informatica dell’azienda.
Mesi prima, a gennaio, Microsoft ha confermato che un gruppo di hacker legato al governo russo si era introdotto negli account di posta elettronica aziendali di Microsoft per rubare informazioni su ciò che gli alti dirigenti dell’azienda sapevano sugli hacker stessi.
La settimana scorsa, ProPublica ha rivelato che Microsoft non ha tenuto conto degli avvertimenti su una falla critica che è stata poi sfruttata nella campagna di cyberspionaggio sostenuta dai russi che ha preso di mira l’azienda tecnologica SolarWinds.