Security bug allows anyone to spoof Microsoft employee emails

Vsevolod Kokorin (également connu en ligne sous le nom de Slonser) a divulgué une vulnérabilité d’usurpation d’e-mail qu’il a découverte sur X (anciennement Twitter) et a signalé le problème à Microsoft. Microsoft a connu plusieurs problèmes de sécurité ces dernières années, suscitant des enquêtes de la part des régulateurs fédéraux et des législateurs du Congrès. NOTRE AVIS L’incident a suscité un débat sur la divulgation des vulnérabilités et les détails techniques rendus publics. La communauté technique a souvent des positions différentes sur la divulgation des vulnérabilités de sécurité, soit en signalant le problème au fournisseur pour faciliter un correctif, soit en évitant de divulguer suffisamment de détails pour empêcher les pirates de les exploiter. Dans ce cas, l’approche de Kokorin augmente non seulement la transparence de la divulgation des vulnérabilités, mais protège également les utilisateurs et les entreprises contre les menaces potentielles. –Revel Cheng, journaliste BTW Un chercheur a découvert un bug qui permet à quiconque d’usurper les comptes e-mail d’entreprise de Microsoft, rendant les tentatives de phishing crédibles et plus susceptibles de tromper leurs cibles. Ce qui s’est passé La semaine dernière, Vsevolod Kokorin, également connu en ligne sous le nom de Slonser, a écrit sur X (anciennement Twitter) qu’il avait découvert le bug d’usurpation d’e-mail et l’avait signalé à Microsoft, mais l’entreprise a rejeté son rapport après avoir déclaré ne pas pouvoir reproduire ses conclusions. Cela a incité Kokorin à rendre public le bug sur X, sans fournir de détails techniques qui aideraient d’autres à l’exploiter. « Microsoft a simplement dit qu’ils ne pouvaient pas le reproduire sans fournir de détails », a déclaré Kokorin. « Microsoft a peut-être remarqué mon tweet car il y a quelques heures, ils ont rouvert l’un de mes rapports que j’avais soumis il y a plusieurs mois. » Bien que la menace de ce bug, à ce stade, soit un contexte documenté publiquement, Microsoft a connu plusieurs problèmes de sécurité ces dernières années, suscitant des enquêtes de la part des régulateurs fédéraux et des législateurs du Congrès. La semaine dernière, le président de Microsoft, Brad Smith, a témoigné lors d’une audition à la Chambre après que la Chine a volé un lot d’e-mails du gouvernement fédéral américain sur les serveurs de Microsoft en 2023. Lors de l’audition, Smith s’est engagé à redoubler d’efforts pour donner la priorité à la cybersécurité dans l’entreprise après une série d’embarras sécuritaires. À lire aussi: Microsoft investit dans un centre de données de 7 milliards de dollars en Espagne À lire aussi: Apple dépasse Microsoft pour devenir l’entreprise la plus valorisée au monde Pourquoi c’est important La vulnérabilité affecterait les comptes Outlook, qui comptent encore quelque 400 millions d’utilisateurs. La surface d’attaque est donc assez large. En usurpant de grandes marques comme Microsoft, les acteurs malveillants pourraient créer des e-mails de phishing convaincants et très dangereux, de sorte que la menace liée à cette vulnérabilité est réelle. Cependant, il n’est pas clairement établi publiquement si Slonser a été le premier à la découvrir, ou si quelqu’un d’autre l’avait déjà trouvée et exploitée dans des attaques. Microsoft a récemment fait l’objet de critiques après une série d’incidents de sécurité qui ont permis à des acteurs malveillants chinois d’accéder aux e-mails d’employés de haut rang du gouvernement américain. En conséquence, Microsoft a annoncé une refonte complète de ses pratiques de sécurité et a affirmé avoir placé la cybersécurité « au-dessus de tout ». L’incident a non seulement nui à la réputation de Microsoft, mais a également soulevé des préoccupations plus profondes concernant la sécurité des données dans les secteurs public et privé. Voir aussi: Ziggo Group nomme ses dirigeants avant l'introduction en Bourse à Amsterdam en 2027.