خطأ أمني يسمح لأي شخص بانتحال رسائل البريد الإلكتروني لموظفي Microsoft

اكتشف أحد الباحثين ثغرة تسمح لأي شخص بانتحال هوية حسابات البريد الإلكتروني الخاصة بشركة Microsoft، مما يجعل محاولات التصيد تبدو ذات مصداقية ومن المرجح أن تخدع أهدافها.

وحتى كتابة هذه السطور، لم يتم تصحيح الخلل. ولتوضيح الخلل، أرسل الباحث بريدًا إلكترونيًا إلى TechCrunch بدا وكأنه مرسل من فريق أمان حساب Microsoft.

في الأسبوع الماضي، كتب Vsevolod Kokorin، المعروف أيضًا على الإنترنت باسم Slonser، على X (Twitter سابقًا) أنه وجد خللًا في انتحال البريد الإلكتروني وأبلغ Microsoft عنه، لكن الشركة رفضت تقريره بعد أن قالت إنها لا تستطيع إعادة إنتاج النتائج التي توصل إليها. وهذا ما دفع كوكورين إلى نشر الثغرة على X، دون تقديم تفاصيل فنية من شأنها أن تساعد الآخرين على استغلالها.

أريد أن أشارك حالتي الأخيرة:
> لقد وجدت ثغرة أمنية تسمح بإرسال رسالة من أي مستخدم@مجال
> لا يمكننا إعادة إنتاجه
> أرسل فيديو مع الاستغلال، إثبات المفهوم الكامل
> لا يمكننا إعادة إنتاجه
عند هذه النقطة، قررت إيقاف الاتصال مع Microsoft. pic.twitter.com/mJDoHTn9Xv

— سلونسر (@slonser_) 14 يونيو 2024

وقال كوروين لـ TechCrunch في محادثة عبر الإنترنت: “قالت Microsoft للتو إنها لا تستطيع إعادة إنتاجها دون تقديم أي تفاصيل”. “ربما لاحظت شركة Microsoft تغريدتي لأنه تم إعادة فتحها قبل ساعات قليلة [sic] أحد تقاريري التي قدمتها منذ عدة أشهر”.

وبحسب كوكورين، فإن الخطأ لا يعمل إلا عند إرسال البريد الإلكتروني إلى حسابات Outlook. ومع ذلك، فإن هذا يمثل مجموعة لا تقل عن 400 مليون مستخدم في جميع أنحاء العالم، وفقًا لأحدث تقرير لأرباح Microsoft.

وقال كوكورين إنه تابع آخر مرة مع مايكروسوفت في 15 يونيو. ولم تستجب مايكروسوفت لطلب TechCrunch للتعليق يوم الثلاثاء.

لا تكشف TechCrunch عن التفاصيل الفنية للخطأ من أجل منع المتسللين الخبيثين من استغلاله.

“لم أتوقع أن يحظى مقالي بمثل هذا التفاعل. قال كوكورين: “بصراحة، أردت فقط أن أشارككم إحباطي لأن هذا الوضع جعلني حزينًا”. “كثير من الناس يسيئون فهمي ويعتقدون أنني أريد المال أو شيء من هذا القبيل. في الواقع، أريد فقط من الشركات ألا تتجاهل الباحثين وأن تكون أكثر ودية عندما تحاول مساعدتهم.

من غير المعروف ما إذا كان أي شخص آخر غير كوكورين قد وجد الثغرة، أو إذا تم استغلالها بشكل ضار.

في حين أن تهديد هذا الخطأ، في هذه المرحلة، غير معروف، فقد واجهت مايكروسوفت العديد من المشكلات الأمنية في السنوات الأخيرة، مما دفع كل من المنظمين الفيدراليين والمشرعين في الكونجرس إلى إجراء تحقيقات.

في الأسبوع الماضي، أدلى رئيس مايكروسوفت براد سميث بشهادته في جلسة استماع بمجلس النواب بعد أن سرقت الصين مجموعة من رسائل البريد الإلكتروني للحكومة الفيدرالية الأمريكية من خوادم مايكروسوفت في عام 2023. وفي جلسة الاستماع، تعهد سميث ببذل جهود متجددة لإعطاء الأولوية للأمن السيبراني في الشركة بعد سلسلة من الإحراجات الأمنية.
قبل أشهر من شهر يناير، أكدت شركة مايكروسوفت أن مجموعة قرصنة مرتبطة بالحكومة الروسية قد اقتحمت حسابات البريد الإلكتروني لشركة مايكروسوفت لسرقة معلومات حول ما يعرفه كبار المسؤولين التنفيذيين في الشركة عن المتسللين أنفسهم. وفي الأسبوع الماضي، كشفت ProPublica أن مايكروسوفت فشلت في الاستجابة للتحذيرات بشأن خلل خطير تم استغلاله لاحقًا في حملة التجسس الإلكتروني المدعومة من روسيا والتي استهدفت شركة التكنولوجيا SolarWinds.