Hacker encontra brecha para enviar e-mails como funcionário da Microsoft

Descoberta vulnerabilidade permite envio de e-mails sob domínio corporativo da Microsoft

O pesquisador Vsevolod Kokorin, conhecido online como Slonser, descobriu uma vulnerabilidade que permite que hackers enviem e-mails sob o domínio corporativo da Microsoft. A falha explorada por Kokorin possibilita que qualquer pessoa envie um e-mail como se fosse de um endereço oficial da empresa, incluindo de funcionários.

Kokorin reportou a vulnerabilidade à Microsoft

Kokorin reportou a vulnerabilidade à Microsoft assim que a descobriu. Para comprovar a falha, ele enviou um e-mail para um site de notícias que parecia ser legítimo da equipe de segurança da Microsoft.

    O bug afeta contas do Outlook em todo o mundo

    O pesquisador afirmou que o bug só funciona quando a mensagem é enviada para endereços de contas do Outlook. Segundo o último balanço financeiro da Microsoft, existem pelo menos 400 milhões de contas do Outlook ativas em todo o mundo. O serviço é o principal concorrente global do Gmail.

    Falha permite que hackers imitem e-mails corporativos da Microsoft. (Imagem: Getty Images)

    Microsoft não deu a devida atenção à gravidade da vulnerabilidade

    Mesmo sendo uma falha grave, o pesquisador relatou que não foi levado a sério pela Microsoft. Após a empresa encerrar o contato afirmando que não conseguia reproduzir o bug reportado, sem especificar qualquer anomalia na tentativa.

    Exposição pública da vulnerabilidade

    Na semana passada, Kokorin publicou sobre a falha em sua conta, sem fornecer detalhes de como ela poderia ser explorada. No post, ele reproduziu sua conversa com a Microsoft, alertando que poderia utilizar qualquer um de seus endereços corporativos. O pesquisador chegou a enviar um vídeo para explicar como a falha ocorre.

      Somente após a exposição pública da vulnerabilidade é que a Microsoft abriu uma das mensagens enviadas por Kokorin a respeito do bug. A mensagem havia sido enviada meses antes pelo pesquisador. Atualmente, a vulnerabilidade permanece sem correção.

      Em resposta ao pesquisador, a empresa disse que não conseguiu reproduzir a vulnerabilidade. (Imagem: Getty Images)Em resposta ao pesquisador, a empresa disse que não conseguiu reproduzir a vulnerabilidade. (Imagem: Getty Images)

      Roubo de e-mails dos EUA em 2023

      A descoberta da vulnerabilidade por Kokorin segue a “maré de azar” em segurança que a Microsoft tem enfrentado nos últimos anos. No ano passado, a empresa admitiu um ataque em que hackers chineses exploraram uma falha de código e se apropriaram indevidamente de suas chaves digitais, permitindo o roubo de e-mails de agências governamentais do governo americano.

      Já segue o macuxi nas redes sociais? Acompanhe todas as notícias em nosso Instagram, Twitter, Facebook, Telegram e também no Tiktok

      NOTÍCIAS RELACIONADASMais do autor