Ein Forscher hat einen Fehler entdeckt, der es jedem ermöglicht, sich als Unternehmens-E-Mail-Konten von Microsoft auszugeben. Dadurch werden Phishing-Versuche glaubwürdiger und die Wahrscheinlichkeit, dass sie ihre Ziele täuschen, wird größer.
Zum Zeitpunkt des Schreibens dieses Artikels wurde der Fehler noch nicht behoben. Um den Fehler zu demonstrieren, schickte der Forscher eine E-Mail an Tech, die aussah, als stamme sie vom Kontosicherheitsteam von Microsoft.
Letzte Woche schrieb Vsevolod Kokorin, im Internet auch als Slonser bekannt, auf X (ehemals Twitter), dass er den E-Mail-Spoofing-Bug gefunden und ihn Microsoft gemeldet habe, aber das Unternehmen wies seinen Bericht mit der Begründung zurück, dass es seine Ergebnisse nicht reproduzieren könne. Dies veranlasste Kokorin dazu, den Bug auf X zu veröffentlichen, ohne technische Details anzugeben, die anderen helfen könnten, ihn auszunutzen.
„Microsoft hat nur gesagt, dass sie es nicht reproduzieren können, ohne irgendwelche Details zu nennen“, sagte Koroin Tech in einem Online-Chat. „Microsoft hat meinen Tweet vielleicht bemerkt, denn vor ein paar Stunden haben sie wieder geöffnet [sic] einer meiner Berichte, den ich vor mehreren Monaten eingereicht hatte.“
Der Fehler, so Kokorin, funktioniert nur beim Senden der E-Mail an Outlook-Konten. Das ist jedoch ein Pool von mindestens 400 Millionen Benutzern auf der ganzen Welt. laut dem neuesten Ergebnisbericht von Microsoft.
Kokorin sagte, er habe zuletzt am 15. Juni Kontakt mit Microsoft aufgenommen. Microsoft antwortete am Dienstag nicht auf die Bitte von Tech um einen Kommentar.
Tech gibt keine technischen Details des Fehlers bekannt, um zu verhindern, dass böswillige Hacker ihn ausnutzen.
„Ich habe nicht erwartet, dass mein Beitrag eine solche Resonanz hervorruft. Ehrlich gesagt wollte ich nur meine Frustration teilen, weil mich diese Situation traurig macht“, sagte Kokorin. „Viele Leute haben mich missverstanden und denken, dass ich Geld oder so etwas will. In Wirklichkeit möchte ich nur, dass Unternehmen Forscher nicht ignorieren und freundlicher sind, wenn sie versuchen, ihnen zu helfen.“
Es ist nicht bekannt, ob jemand außer Kokorin den Fehler gefunden hat oder ob er böswillig ausgenutzt wurde.
Obwohl die Bedrohung durch diesen Fehler zum jetzigen Zeitpunkt unbekannt ist, gab es bei Microsoft in den letzten Jahren mehrere Sicherheitsprobleme, die Untersuchungen sowohl der Bundesaufsichtsbehörden als auch der Kongressabgeordnete.
Letzte Woche hat Microsoft-Präsident Brad Smith in einer Anhörung im Repräsentantenhaus ausgesagt nachdem China 2023 einen Teil der E-Mails der US-Bundesregierung von den Servern von Microsoft gestohlen hatte. In der Anhörung versprach Smith, nach einer Reihe von Sicherheitspannen erneute Anstrengungen zu unternehmen, um der Cybersicherheit im Unternehmen Priorität einzuräumen.
Bereits im Januar bestätigte Microsoft, dass eine mit der russischen Regierung verbundene Hackergruppe in die E-Mail-Konten von Microsoft eingedrungen war, um Informationen darüber zu stehlen, was die Topmanager des Unternehmens über die Hacker selbst wussten. Und letzte Woche ProPublica enthüllt dass Microsoft Warnungen vor einem kritischen Fehler nicht beachtet habe, der später in der von Russland unterstützten Cyber-Spionagekampagne gegen das Technologieunternehmen SolarWinds ausgenutzt wurde.