Vsevolod Kokorin(网上昵称 Slonser)披露了他在 X(原 Twitter)上发现的电子邮件伪造漏洞,并向微软报告了该问题。近年来,微软遭遇了多起安全问题,引发了联邦监管机构和国会立法者的调查。本报观点 该事件引发了关于漏洞披露和公开技术细节的讨论。技术社区对安全漏洞的披露往往持有不同立场,或向厂商报告以协助修复,或避免披露足够细节以防黑客利用。在此案例中,Kokorin 的做法不仅提高了漏洞披露的透明度,也保护了用户和企业免受潜在威胁。——Revel Cheng,BTW 记者 一位研究人员发现了一个漏洞,允许任何人冒充微软企业电子邮件账户,使网络钓鱼尝试看起来更可信,更容易欺骗目标。事件经过 上周,Vsevolod Kokorin(网上昵称 Slonser)在 X(原 Twitter)上发文称,他发现了电子邮件伪造漏洞并报告给微软,但该公司表示无法复现其发现而驳回了报告。这促使 Kokorin 在 X 上公开了该漏洞,但未提供可能被他人利用的技术细节。Kokorin 说:“微软只是说他们无法复现,没有提供任何细节。” Kokorin 还说:“微软可能注意到了我的推文,因为几个小时前他们重新打开了我几个月前提交的一份报告。”虽然该漏洞的威胁目前属于公开记录,但微软近年来经历了多起安全问题,引发了联邦监管机构和国会立法者的调查。上周,微软总裁 Brad Smith 在国会听证会上作证,此前中国在 2023
年从微软服务器窃取了一批美国联邦政府电子邮件。在听证会上,Smith 承诺在多次安全丑闻之后,将重新努力优先考虑公司的网络安全。另请阅读:微软在西班牙投资 70 亿美元建设数据中心 另请阅读:苹果超越微软成为世界市值最高公司 为何重要 据报道,该漏洞影响 Outlook 账户,而 Outlook 仍有约 4 亿用户。因此,攻击面相当大。通过伪造微软等主要品牌,威胁行为者可以制造出极具说服力且高度危险的网络钓鱼邮件,因此该漏洞带来的威胁是真实的。然而,目前尚不清楚是 Slonser 最早发现该漏洞,还是已被他人发现并用于攻击。微软在经历一系列安全失误后,最近面临批评,这些失误使得中国威胁行为者能够访问美国政府高级雇员的电子邮件。因此,微软宣布全面改革其安全实践,并声称已将网络安全置于“高于一切”的位置。这一事件不仅损害了微软的声誉,也引发了公众和企业界对数据安全更深层次的担忧。

