誰でもMicrosoftの従業員になりすましてメールを送れるバグが発見される
MicrosoftのメールクライアントであるOutlookに電子メールを送信する際に、誰でもMicrosoftの従業員になりすました電子メールを送信できるバグが発見されています。
I want to share my recent case:
— slonser (@slonser_) June 14, 2024
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv
Security bug allows anyone to spoof Microsoft employee emails | TechCrunch
https://techcrunch.com/2024/06/18/security-bug-allows-anyone-to-spoof-microsoft-employee-emails/
SolidLabのセキュリティ研究者であるヴセヴォロド・ココリン氏はX(旧Twitter)に、「任意のユーザードメインからメッセージを送信できる脆弱(ぜいじゃく)性を発見しました」とのポストを投稿。実際にココリン氏は、あたかもMicrosoftのセキュリティ部門である「Microsoft Security」から送信されたように見える電子メールを公開しています。
ココリン氏によると、このバグはOutlookアカウントに電子メールを送信するときにのみ発生するとのこと。しかし、MicrosoftはOutlookユーザーの数を「世界中で約4億人」と報告しており、バグの影響の広がる範囲が非常に広いことが危惧されています。
そのため、ココリン氏は「悪意のあるハッカーが今回のバグを悪用するのを防ぐため」として、バグに関する技術的な詳細を明かしていません。
I haven't published it yet because I don't want my technique to be used for illegal purposes. I'm considering a publication strategy.
— slonser (@slonser_) June 15, 2024
ココリン氏はMicrosoftに対して今回のバグを報告しましたが、Mirosoft側は「ココリン氏の報告を再現できない」として調査を却下。そこでココリン氏は今回のバグをXで報告したというわけです。ココリン氏はMicrosoftのこの姿勢に対して「同様の問題をGoogleに報告した際には、問題はただちに解決され、無視されることはありませんでした」と批判しています。
for example, when I reported similar problems to Google (gmail, golang), everything was resolved quickly and I was not just ignored.
— slonser (@slonser_) June 16, 2024
なお、ココリン氏はその後「Microsoftは今回の私の投稿に気付いたらしく、今回のバグに関する検証を再開したと連絡がありました」と述べています。
ココリン氏は「私の小規模なXアカウントでこれほど多くの反応が得られると思っていませんでした」「私はお金をもらいたいがために今回のバグについて投稿したわけではありません」と語っています。また、海外メディアのTechCrunchに対しては「企業には研究者を軽視せず、もっと友好的にサポートしてほしい」と訴えています。
I didn't do this to get paid or anything like that. I’m just tired of Microsoft, I was already angry when they simply didn’t respond to my 0day in C# SMTP (check my last article), this just became the final point.
— slonser (@slonser_) June 16, 2024
・関連記事
ロシアのハッカーに悪用されていたOutlookのゼロデイ脆弱性をMicrosoftが修正 - GIGAZINE
中国のハッカー集団がMicrosoft Outlookのアメリカ国務省アカウントに不正アクセスし約6万通のメールを盗んだことが発覚 - GIGAZINE
新しいOutlookはユーザーの資格情報をMicrosoftのサーバーに送信している - GIGAZINE
「新しいOutlookは広告収益を追求するMicrosoftのデータ収集サービスだ」と暗号化メールサービスのProtonMailが警鐘を鳴らす - GIGAZINE
Outlookのスパムフィルターがぶっ壊れてメールボックスがスパムまみれになる事態が発生 - GIGAZINE
・関連コンテンツ