Um grave bug de segurança descoberto recentemente permite que qualquer pessoa falsifique e-mails de contas corporativas da Microsoft, aumentando significativamente o risco de ataques de phishing bem-sucedidos. O pesquisador Vsevolod Kokorin, conhecido online como Slonser, revelou a falha em uma postagem no X (anteriormente Twitter), após a Microsoft rejeitar seu relatório inicial sobre o problema.
A vulnerabilidade descoberta por Kokorin possibilita que e-mails sejam enviados como se fossem de qualquer conta corporativa da Microsoft, fazendo com que as mensagens fraudulentas pareçam legítimas. Essa falha é particularmente preocupante para contas do Outlook, que, segundo o último relatório de lucros da empresa, representam cerca de 400 milhões de usuários em todo o mundo.
Para demonstrar a seriedade do problema, Kokorin enviou um e-mail à equipe do TechCrunch, que parecia ter sido enviado pela equipe de segurança de contas da Microsoft. A empresa, no entanto, inicialmente rejeitou o relatório de Kokorin, afirmando que não conseguiu reproduzir a falha.
Divulgação e resposta da Microsoft
Frustrado com a resposta da empresa, Kokorin decidiu divulgar a existência do bug em suas redes sociais, sem fornecer detalhes técnicos para evitar exploração maliciosa. “A Microsoft apenas disse que não poderia reproduzi-lo sem fornecer detalhes”, explicou Kokorin em um bate-papo online com o TechCrunch. “A Microsoft pode ter notado meu tweet porque, há algumas horas, eles reabriram um dos meus relatórios que enviei há vários meses.”
No momento, o bug ainda não foi corrigido e a Microsoft não respondeu aos pedidos de comentários feitos pelo TechCrunch. A incerteza sobre a extensão da exploração desta falha e se outros além de Kokorin descobriram ou usaram a vulnerabilidade persiste.
Histórico de problemas de segurança
Este incidente adiciona-se a uma série de problemas de segurança enfrentados pela empresa nos últimos anos. Recentemente, o presidente da Microsoft, Brad Smith, testemunhou perante o Congresso dos Estados Unidos sobre um incidente em que hackers chineses roubaram uma quantidade significativa de e-mails do governo dos EUA de servidores da empresa. Durante a audiência, Smith prometeu que a empresa iria renovar seus esforços para priorizar a segurança cibernética após uma série de falhas de segurança.
Além disso, em janeiro de 2024, a Microsoft confirmou que hackers ligados ao governo russo haviam invadido contas de e-mail corporativo da empresa para obter informações sobre as ações de executivos. Este ataque foi parte de uma campanha mais ampla de espionagem cibernética.
A revelação de Kokorin gerou uma ampla discussão na comunidade de segurança cibernética. Muitos especialistas expressaram preocupação com a resposta inicial da Microsoft e a falta de transparência na comunicação sobre falhas de segurança. Kokorin destacou que sua intenção não era buscar recompensas financeiras, mas sim chamar a atenção para a importância de uma resposta mais proativa das empresas de tecnologia aos relatórios de vulnerabilidades.
“Eu não esperava que minha postagem tivesse tal reação. Honestamente, eu só queria compartilhar minha frustração porque essa situação me deixou triste“, disse Kokorin. “Muitas pessoas me entenderam mal e pensam que quero dinheiro ou algo parecido. Na verdade, só quero que as empresas não ignorem os investigadores e sejam mais amigáveis quando tentam ajudá-los.“