Alors que les experts en sécurité alertent régulièrement sur les diverses campagnes de Phishing qui font des milliers de victimes chaque année, voilà qu'Outlook facilite les choses aux cybercriminels via un bug.
Vsevolod Kokorin, expert en cybersécurité a ainsi contacté Microsoft après la découverte d'un bug plutôt gênant. Ce dernier permet à un utilisateur mal intentionné d'envoyer des emails en se faisant passer par n'importe quel expéditeur.
I want to share my recent case:
— slonser (@slonser_) June 14, 2024
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv
Dans une démonstration, l'expert a ainsi pu envoyer des emails qui affichent pour expéditeur security@microsoft.com. En clair, cela permettrait à des criminels d'envoyer des mails en se faisant passer pour les autorités, des marques diverses, prestataires d'énergie, ou autre afin de tenter de duper les utilisateurs en les invitant à payer des factures ou en les renvoyant vers des sites frauduleux.
La faille en question n'a pas été dévoilée, l'expert en sécurité évoquant une dangerosité importante, mais elle se situe au sein même d'Outlook qui est particulièrement utilisé en entreprise et pourrait donc poser problème à plus de 400 millions d'utilisateurs.
Microsoft n'a pas donné immédiatement suite aux requêtes du développeur suite à son alerte... Il aura fallu quelques démonstrations et une publication sur le réseau X pour que Microsoft prenne finalement les choses au sérieux et reconnu l'existence du problème. Un comportement dénoncé par la sphère sécuritaire sur Internet.
