研究人員聲稱找到可冒充微軟客服向使用者行騙的漏洞,但並未進一步透露相關細節
支付動態 · 2024-06-26

有研究人員表示,他發現攻擊者可以假冒微軟帳號的資安團隊寄信給用戶的資安弱點,然而,究竟漏洞是出現於雲端電子郵件信箱服務Outlook.com,還是收信軟體Outlook,這名研究人員並未進一步說明

資安研究人員Vsevolod Kokorin(Slonser)聲稱,他發現可假冒微軟資安團隊的欺騙漏洞,攻擊者可藉此從任意的來源,向用戶發送訊息。

然而,這名研究人員指出,微軟收到他的通報資料後表示,他們無法重現漏洞,即使是研究人員補充提供完整的概念性驗證(PoC)攻擊影片,該公司仍舊回覆無法完成相關驗證。對此,Vsevolod Kokorin表示決定停止繼續溝通,並公開此事,但並未透露細節,以防有人試圖利用。

根據研究人員的推文內容,我們難以判斷漏洞的影響範圍,究竟存在漏洞可被利用的是收信軟體Outlook,還是雲端電子郵件信箱服務Outlook.com,抑或是其他的環節?目前仍不得而知。

I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv

— slonser (@slonser_) June 14, 2024

這名研究人員也向科技新聞網站TechCrunch展示這項漏洞,該媒體也確實收到看起來像是從微軟帳號資安團隊寄來的電子郵件。研究人員向該媒體透露,這項弱點只會在攻擊者寄信給Outlook的使用者帳號才會出現。

針對通報漏洞的過程,研究人員向TechCrunch透露,當時微軟回覆表示,在沒有提供細節的情況下,該公司無法重現漏洞。但當他透過X公開此事的數個小時後,微軟似乎留意到他的推文,並重新檢視數個月前通報的內容。是否有其他人發現這項漏洞,並將其用於攻擊行動?目前仍不得而知,也不清楚微軟是否對漏洞進行了修補。微軟也並未針對此事進行公開說明。

值得留意的是,TechCrunch提及了去年傳出中國駭客組織Storm-0558濫用外流的MSA簽章金鑰,存取25個歐美政府組織的Outlook Web Access in Exchange Online(OWA)、Outlook.com電子郵件信箱的事故,根據這項說法,研究人員發現的漏洞,很有可能出現於Outlook.com。

熱門文章
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
英國確認各垂直行業的賭博稅稅率
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
首頁
遊戲
合作
發現
我的