Falha de segurança permite enviar e-mails como sendo funcionários da Microsoft
Um investigador de segurança confirmou ter descoberto uma falha nos sistemas da Microsoft, que poderia permitir enviar emails como sendo de funcionários da empresa.
Esta falha poderia permitir que algumas campanhas de phishing e spam pudessem explorar a falha para parecerem legitimas, tendo sido enviadas de endereços potencialmente ligados a sistemas internos da Microsoft.
O investigador Vsevolod Kokorin, também conhecido como “Slonser”, confirmou na X que a falha pode permitir que sejam enviados emails usando o endereço da Microsoft fgocado para questões de segurança. Isto permite que os emails sejam enviados e possam contornar alguns filtros de spam, tendo em conta que a maioria considera as mensagens originárias da Microsoft como “seguras”.
O investigador não revelou detalhes de como a falha pode ser explorada, mas indica que já terá informado a Microsoft sobre a mesma, e até ao momento, não existe uma correção aplicada.
Segundo Koroin, a Microsoft apenas terá indicado que não consegue reproduzir a falha na sua parte, e como tal, a mesma foi rejeitada. Depois da publicação do investigador ter começado a ganhar destaque na X, a Microsoft reabriu a mensagem que o mesmo teria enviado faz alguns meses, a reportar a situação, o que indica que a empresa pode estar a analisar o problema.
Em entrevista ao portal TechCrunch, Kokorin afirma que partilhou a falha publicamente na sua conta da X por frustração, depois de ter contactado a Microsoft durante várias semanas, sem que nada fosse feito relativamente à falha.
De momento ainda se desconhecer se a falha será de conhecimento público ou estará a ser usada para ataques direcionados.