Un nuovo e clamoroso bug è stato individuato da Vsevolod Kokorin, ricercatore presso SolidLab. Sfruttando questa falla di Outlook, a quanto pare, è possibile inviare posta elettronica modificando il mittente e fingendosi dipendenti Microsoft.

Per dimostrare la scoperta, lo stesso Kokorin ha mostrato su X un suo messaggio di posta elettronica, con il mittente che sembra provenire dal team di sicurezza Microsoft.

I want to share my recent case:

> I found a vulnerability that allows sending a message from any user@domain

> We cannot reproduce it

> I send a video with the exploitation, a full PoC

> We cannot reproduce it

At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv — slonser (@slonser_) June 14, 2024

La risposta (tardiva) di Microsoft al preoccupante bug

Per evitare una serie di abusi da parte di malintenzionati, Kokorin non ha rivelato alcun dettaglio tecnico sul bug, soffermando come sia importante un pronto intervento per evitare che ciò accada.

Nonostante il ricercatore abbia segnalato a Microsoft quanto avvenuto, la compagnia di Redmond sembra non averlo voluto ascoltare. Per poter dunque sensibilizzare il pubblico, l’esperto ha deciso di pubblicare la sua scoperta su X.

In passato, lo stesso ricercatore ha individuato un bug nell’ecosistema Google. In quel caso, però, il colosso tecnologico è intervenuto prontamente rimediando alla sua mancanza.

Solo dopo il post su X, a quanto pare, Microsoft ha fatto un passo indietro contattando il ricercatore per confermare come un team sia a lavoro per rimediare alla falla. Kokorin ha affermato come non si aspettasse di avere così risalto sulla piattaforma e di come il suo comportamento non sia legato a una potenziale ricompensa da parte dell’azienda.

L’esperto, infine, ha fatto un appello alle grandi compagnie tecnologiche attraverso il sito TechCrunch, chiedendo maggior rispetto e supporto da parte delle aziende per quanto riguarda il lavoro dei ricercatori.

Per Microsoft, questo non è di certo l’unico “disguido” relativo alla sicurezza informatica negli ultimi tempi. In tal senso, hanno fatto molto discutere le dichiarazioni di un ex dipendente riguardo le reali priorità della compagnia.