安全研究员 Vsevolod Kokorin (@Slonser) 发现了一个漏洞,该漏洞允许任何人冒充Microsoft公司电子邮件帐户。攻击者可以触发漏洞发动网络钓鱼攻击。
我想分享我最近的案例:
>我发现了一个漏洞,允许从任何user@domain发送消息
> 我们无法复制它
>,我发送了一个带有漏洞利用的视频,一个完整的PoC
> 我们无法复制它
在这一点上,我决定停止与Microsoft的交流。pic.twitter.com/mJDoHTn9Xv
— slonser (@slonser_) June 14, 2024
研究人员向 TechCrunch 展示了漏洞利用,Kokorin 告诉 TechCrunch,他向 Microsoft 报告了这个漏洞,但该公司回答说无法重现他的发现。然后Kokorin披露了X上的缺陷。
研究人员解释说,当攻击者向Outlook帐户发送电子邮件时,该漏洞就会起作用。
“Kokorin说,他最后一次跟进Microsoft是在6月15日。Microsoft周二没有回应 TechCrunch 的置评请求,“TechCrunch 报道。“TechCrunch 没有透露该漏洞的技术细节,以防止恶意黑客利用它。
目前,该问题尚未得到解决,目前尚不清楚是否有任何威胁行为者已经在野外攻击中利用了它。
原文始发于微信公众号(黑猫安全):未修补的 BUG 允许任何人冒充 MICROSOFT 公司电子邮件帐户
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论