一項新研究有據說發現了令人擔憂的安全微軟當將電子郵件發送到Outlook帳戶時,可以使任何人看起來像技術巨頭的員工,從而使網絡釣魚騙局更容易。
Vsevolod Kokorin(也稱為Slonser)聲稱在上週發現了電子郵件漏洞,並將其報告給Microsoft。但是,後者拒絕了他的報告,指出它無法複製他的結果。
Kokorin在X(以前的Twitter)上發布了他的發現。結果,Kokorin決定向公眾披露X上的問題,而無需提供任何有助於剝削的技術信息。在撰寫本文時,該錯誤尚未解決。
Kokorin聲稱該錯誤僅限於向Outlook帳戶發送電子郵件。儘管如此,根據微軟最近的財務報告,它代表了至少4億人的全球用戶群。根據Kokorin的說法,他最後一次與Microsoft於6月15日與Microsoft進行了溝通。
據說,除了科科林以外,沒有人發現了缺陷的存在或惡意剝削。
微軟反對黑客
新發現的錯誤是一種新的網絡安全報告發現Microsoft Office軟件仍然容易受到黑客嘗試的影響。
根據軟件漏洞評級報告2024年,Microsoft Office擁有任何辦公產品的漏洞總數最多。 RCES佔每年近80%的漏洞的40-50%。此外,在2023年,有5%的人正在利用它。
與其他軟件相比,Office應用程序更容易使黑客妥協,因為它們面向用戶並且容易出現人為錯誤。常見的用戶行為,包括單擊嵌入式鏈接,激活宏和開放文檔,可能是網絡釣魚嘗試的主題。
由於Microsoft Office如此普遍,依賴和認可用戶,因此對這種類型的攻擊是成功的最大機會。作者預測,針對Microsoft Office問題的網絡釣魚攻擊會增加。
在所有主要的Web瀏覽器中,Microsoft Edge在過去三年中的RCE漏洞最多-14。在2021年至2022年之間,這個數字增長了500%,在2022年至2023年之間,數量增加了17%。儘管RCES僅佔Firefox和Chrome脆弱性的1%,但所有漏洞中有10%公開了。
微軟黑客事件
在中國2023年盜竊了一部分微軟的計算機,其中包含美國聯邦政府的電子郵件,微軟主席布拉德·史密斯(Brad Smith)上週在眾議院委員會中作證。在幾次安全失誤之後,史密斯在整個聽證會上承諾,該公司將再次優先考慮網絡安全。
根據CISA的說法,最近的Microsoft數據洩露涉及俄羅斯黑客可能已經暴露了對美國聯邦組織構成威脅的機密政府信息。
微軟是一家位於華盛頓的雷德蒙德公司,主要負責聯邦僱員工作的網絡安全,因為整個美國政府都使用其Windows操作系統,Outlook Email和其他應用程序。結果,涉及技術巨頭的違規行為可能會涉及政府。
