Een bug bij Microsoft laat aanvallers toe om mails uit te sturen met @microsoft.com-adressen. Zo kien phishing-berichten er plots een stuk realistischer uit.
Een beveiligingsonderzoeker heeft een bug ontdekt in het mailsysteem van Microsoft. Die kunnen criminelen misbruiken om valselijk mails te sturen die afkomstig lijken van legitieme Microsoft-adressen. De onderzoeker, Vsevolod Kokorin, demonstreerde de bug aan Techcrunch door een mail te sturen vanuit security@microsoft.com.
Volgens de onderzoeker werkt het achterpoortje enkel in mails naar Outlook-accounts. Die accounts vertegenwoordigen nog steeds ongeveer 400 miljoen gebruikers wereldwijd. Bovendien gaat het doorgaans om persoonlijke accounts, waar de eigenaar exclusief de verantwoordelijkheid draagt om niet in phishing te trappen.
Geen reactie
Kokorin deelde het probleem meermaals met Microsoft, maar werd naar eigen zeggen niet serieus genomen. Het was pas toen hij meer ruchtbaarheid aan zijn bevindingen begon te geven, dat Microsoft er echt mee aan de slag ging.
Techcrunch kent de details van de bug, maar deelt die niet om misbruik te voorkomen. Het is onduidelijk of criminelen op de hoogte zijn van het euvel. Microsoft werkt intussen met Kokorin aan een oplossing, maar reageerde nog niet officieel. Het is dus evenmin duidelijk of de bug actief misbruikt wordt, of wanneer die opgelost zal zijn.
Microsoft erkende pas nog dat het niet altijd de juiste beslissingen heeft genomen inzake beveiliging. Dat er nauwelijks enkele dagen later een beveiligingsonderzoeker publiek moet klagen dat hij genegeerd wordt door Microsoft met een legitieme bug, komt dan ook niet zo goed over voor Microsoft.