Une faille de sécurité permet d'usurper les e-mails d'employés Microsoft

La faille de sécurité permettant d'usurper les e-mails des employés de Microsoft est profilée par BTW Media car des preuves publiées la relient à l'infrastructure Internet, à la gouvernance, aux dépendances opérationnelles ou à la visibilité sur le marché.

Vsevolod Kokorin (également connu en ligne sous le nom de Slonser) a divulgué une vulnérabilité d'usurpation d'e-mails qu'il a découverte sur X (anciennement Twitter) et a signalé le problème à Microsoft. Microsoft a connu plusieurs problèmes de sécurité ces dernières années, ce qui a incité des enquêtes de la part des régulateurs fédéraux et des législateurs du Congrès. NOTRE AVIS L'incident a suscité un débat sur la divulgation des vulnérabilités et la publication de détails techniques.

La communauté technique a souvent des positions divergentes sur la divulgation des vulnérabilités de sécurité, certains préconisant de signaler le problème au fournisseur pour faciliter un correctif, d'autres préférant éviter de divulguer suffisamment de détails pour empêcher les pirates de l'exploiter. Dans ce cas, l'approche de Kokorin non seulement accroît la transparence de la divulgation des vulnérabilités, mais protège également les utilisateurs et les entreprises contre les menaces potentielles.

– Revel Cheng, journaliste BTW Un chercheur a trouvé un bug qui permet à quiconque d'usurper les comptes e-mail d'entreprise de Microsoft, rendant les tentatives d'hameçonnage crédibles et plus susceptibles de tromper leurs cibles. Ce qui s'est passé La semaine dernière, Vsevolod Kokorin, également connu en ligne sous le nom de Slonser, a écrit sur X (anciennement Twitter) qu'il avait trouvé le bug d'usurpation d'e-mails et l'avait signalé à Microsoft, mais l'entreprise a rejeté son rapport après avoir déclaré ne pas pouvoir reproduire ses résultats.

Cela a incité Kokorin à rendre le bug public sur X, sans fournir de détails techniques qui aideraient d'autres à l'exploiter. « Microsoft a simplement dit qu'ils ne pouvaient pas le reproduire sans fournir de détails », a déclaré Kokorin. « Microsoft a peut-être remarqué mon tweet car il y a quelques heures, ils ont rouvert un de mes rapports que j'avais soumis il y a plusieurs mois. » Bien que la menace de ce bug soit actuellement documentée publiquement, Microsoft a connu plusieurs problèmes de sécurité ces dernières années, ce qui a incité des enquêtes de la part des régulateurs fédéraux et des législateurs du Congrès.

La semaine dernière, le président de Microsoft, Brad Smith, a témoigné lors d'une audience à la Chambre après que la Chine a dérobé une partie des e-mails du gouvernement fédéral américain sur les serveurs de Microsoft en 2023. Lors de l'audience, Smith s'est engagé à redoubler d'efforts pour donner la priorité à la cybersécurité dans l'entreprise après une série de déconvenues en matière de sécurité.

À lire également: Microsoft investit dans un centre de données de 7 milliards de dollars en Espagne À lire également: Apple dépasse Microsoft pour devenir l'entreprise la plus valorisée au monde Pourquoi c'est important La vulnérabilité affecterait les comptes Outlook, qui comptent encore quelque 400 millions d'utilisateurs. La surface d'attaque est donc assez large. En usurpant de grandes marques telles que Microsoft, les acteurs malveillants pourraient créer des e-mails d'hameçonnage convaincants et très dangereux, la menace de cette vulnérabilité est donc bien réelle.

Cependant, il n'est actuellement pas établi publiquement si Slonser a été le premier à la trouver ou si quelqu'un d'autre l'avait déjà découverte et exploitée dans des attaques. Microsoft a récemment fait l'objet de critiques après une série d'incidents de sécurité qui ont permis à des acteurs malveillants chinois d'accéder aux e-mails de hauts responsables du gouvernement américain. En conséquence, Microsoft a annoncé une refonte complète de ses pratiques de sécurité et a affirmé avoir placé la cybersécurité « au-dessus de tout ».

L'incident a non seulement nui à la réputation de Microsoft, mais a également soulevé des préoccupations plus profondes concernant la sécurité des données dans les secteurs public et privé.