一项新研究有据说发现了令人担忧的安全微软当将电子邮件发送到Outlook帐户时,可以使任何人看起来像技术巨头的员工,从而使网络钓鱼骗局更容易。
Vsevolod Kokorin(也称为Slonser)声称在上周发现了电子邮件漏洞,并将其报告给Microsoft。但是,后者拒绝了他的报告,指出它无法复制他的结果。
Kokorin在X(以前的Twitter)上发布了他的发现。结果,Kokorin决定向公众披露X上的问题,而无需提供任何有助于剥削的技术信息。在撰写本文时,该错误尚未解决。
Kokorin声称该错误仅限于向Outlook帐户发送电子邮件。尽管如此,根据微软最近的财务报告,它代表了至少4亿人的全球用户群。根据Kokorin的说法,他最后一次与Microsoft于6月15日与Microsoft进行了沟通。
据说,除了科科林以外,没有人发现了缺陷的存在或恶意剥削。
微软反对黑客
新发现的错误是一种新的网络安全报告发现Microsoft Office软件仍然容易受到黑客尝试的影响。
根据软件漏洞评级报告2024年,Microsoft Office拥有任何办公产品的漏洞总数最多。 RCES占每年近80%的漏洞的40-50%。此外,在2023年,有5%的人正在利用它。
与其他软件相比,Office应用程序更容易使黑客妥协,因为它们面向用户并且容易出现人为错误。常见的用户行为,包括单击嵌入式链接,激活宏和开放文档,可能是网络钓鱼尝试的主题。
由于Microsoft Office如此普遍,依赖和认可用户,因此对这种类型的攻击是成功的最大机会。作者预测,针对Microsoft Office问题的网络钓鱼攻击会增加。
在所有主要的Web浏览器中,Microsoft Edge在过去三年中的RCE漏洞最多-14。在2021年至2022年之间,这个数字增长了500%,在2022年至2023年之间,数量增加了17%。尽管RCES仅占Firefox和Chrome脆弱性的1%,但所有漏洞中有10%公开了。
微软黑客事件
在中国2023年盗窃了一部分微软的计算机,其中包含美国联邦政府的电子邮件,微软主席布拉德·史密斯(Brad Smith)上周在众议院委员会中作证。在几次安全失误之后,史密斯在整个听证会上承诺,该公司将再次优先考虑网络安全。
根据CISA的说法,最近的Microsoft数据泄露涉及俄罗斯黑客可能已经暴露了对美国联邦组织构成威胁的机密政府信息。
微软是一家位于华盛顿的雷德蒙德公司,主要负责联邦雇员工作的网络安全,因为整个美国政府都使用其Windows操作系统,Outlook Email和其他应用程序。结果,涉及技术巨头的违规行为可能会涉及政府。
