Microsoft игнорировала давнюю уязвимость безопасности в Outlook

Windows
Оценить

Хотя Microsoft работает над исправлением уязвимостей в своих программных продуктах, критические ошибки в её многочисленных сервисах, системах и приложениях продуктах продолжают всплывать. Исследователь обнаружил опасную уязвимость в Outlook несколько месяцев назад, но Microsoft только сейчас отреагировала на это.

Исследователь из SolidLab Всеволод Кокорин обнаружил уязвимость, которая позволяла ему выдавать себя за любой аккаунт Outlook, отправляя вредоносные письма от якобы реальных пользователей. Кокорин продемонстрировал критическую ошибку, подделав письма от команды безопасности Microsoft, но ответ оказался не таким, каким он ожидал.

Microsoft

SolidLab обнаружила уязвимость несколько месяцев назад и сразу же уведомила Microsoft. Компания заявила, что не может воспроизвести проблему, поэтому Кокорин отправил видео, показывающее успешное использование уязвимости с полным доказательством концепции (PoC).

Эксплойт PoC для подделки писем работает только при отправке писем на аккаунты Outlook, который по-прежнему является одним из самых популярных почтовых сервисов с 400 млн пользователей по всему миру. Microsoft не смогла воспроизвести ошибку, поэтому компания закрыла этот вопрос.

Кокорин выразил своё разочарование в посте в Twitter и поделился техническими деталями уязвимости с сайтом TechCrunch. Он не ожидал, что на него обрушится волна негатива. Многие «неправильно поняли» его намерения и обвинили его в стремлении привлечь общественное внимание ради денежной выгоды. Кокорин заявил, что он всего лишь хотел заставить крупные корпорации, такие как Microsoft, перестать игнорировать исследователей и быть менее пренебрежительными при уведомлении о потенциально опасных ошибках в их программном обеспечении.

В итоге Microsoft вернулась к рассмотрению вопроса. Правда, уязвимость в почтовом сервисе Outlook всё ещё сохраняется в момент написания новости.

Недавно генеральный директор Microsoft Сатья Наделла выразил недовольство практиками компании в отношении исправления уязвимостей безопасности. Наделла отправил внутреннюю записку, объяснив, что теперь Microsoft должна ставить безопасность выше всего остального в масштабной инициативе, охватывающей все команды и проекты. Совет по кибербезопасности США также назвал практики Microsoft «недостаточными» после расследования крупных инцидентов безопасности, связанных с Windows и другими продуктами.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *