Un bogue dans Outlook permettrait à n'importe qui d'usurper l'identité des comptes de messagerie d'entreprise de Microsoft,

Ce qui rend les utilisateurs plus vulnérables aux tentatives d'hameçonnage

Un chercheur en cybersécurité déclare avoir découvert un bogue qui permet à n'importe qui d'usurper l'identité des comptes de messagerie d'entreprise de Microsoft. La vulnérabilité affecterait le client de courrier électronique propriétaire Outlook de Microsoft qui compte plus de 400 millions d'utilisateurs dans le monde. Cela signifie que l'exploitation de cette vulnérabilité pourrait avoir des conséquences dévastatrices. Le chercheur a annoncé la nouvelle sur X après avoir tenté en vain d'attirer discrètement l'attention de Microsoft sur ce bogue. Il s'indigne du comportement de Microsoft et la vulnérabilité n'avait toujours pas été corrigée à la date du 18 juin.

Vsevolod Kokorin, chercheur en sécurité chez SolidLab , a publié sur X (anciennement Twitter) qu'il avait découvert une vulnérabilité qui permettait d'envoyer des messages à partir de n'importe quel domaine d'utilisateur. Le chercheur, connu en ligne sous le nom de "Slonser", a expliqué qu'il avait découvert le bogue d'usurpation d'adresse électronique et qu'il l'avait signalé à Microsoft, mais l'entreprise a rejeté son rapport après avoir déclaré qu'elle ne pouvait pas reproduire ses découvertes. Ce qui a poussé Kokorin à publier la nouvelle sur X, sans fournir de détails techniques pouvant aider d'autres personnes à l'exploiter.

« Microsoft a simplement dit qu'il ne pouvait pas reproduire le problème sans fournir de détails. Microsoft a peut-être remarqué mon tweet parce qu'il y a quelques heures, ils ont rouvert [sic] l'un de mes rapports que j'avais soumis il y a plusieurs mois », a déclaré Kokorin à TechCrunch lors d'une conversation en ligne. Kokorin a déclaré avoir contacté Microsoft pour la dernière fois le 15 juin. Sa publication sur X remonte à la veille. Pour démontrer que la vulnérabilité existe et est exploitable, Kokorin a envoyé au média un courriel qui semble provenir de Microsoft Security, la division chargée des questions de sécurité chez Microsoft.



Kokorin a déclaré que le bogue ne se produit que lors de l'envoi de courriers électroniques à des comptes Outlook. Pour rappel, Outlook est un programme que les gens utilisent pour gérer leurs courriels, leurs calendriers et leurs contacts. Le logiciel aide les utilisateurs à rester organisés en conservant tous leurs courriels au même endroit. Ils peuvent en outre planifier des rendez-vous et des réunions dans le calendrier et garder une trace des informations relatives à leurs contacts. Selon les données de Microsoft, Outlook compte pas moins de 400 millions d'utilisateurs, ce qui représente une plage d'attaque importante pour les pirates.

C'est la raison pour laquelle Kokorin n'a révélé aucun détail technique sur le bogue, invoquant "la nécessité d'empêcher les acteurs malveillants de l'exploiter". Le chercheur a critiqué la position de Microsoft en déclarant : « lorsque j'ai signalé un problème similaire à Google, le problème a été résolu immédiatement et n'a pas été ignoré ». Microsoft semble s'être intéressé au problème soulevé par Kokorin après que sa publication sur X est devenue virale et a suscité des commentaires critiques. Il a déclaré : « Microsoft semble avoir remarqué mon message et m'a contacté pour me dire qu'ils avaient repris les tests sur ce bogue ».

L'on ignore si une autre personne que Kokorin a pu identifier ce bogue ni s'il a été exploité de manière malveillante. Bien que la menace de ce bogue soit inconnue à ce stade, Microsoft a connu plusieurs problèmes de sécurité ces dernières années qui ont conduit à des enquêtes de la part des autorités de régulation fédérales et des législateurs du Congrès américain. La semaine dernière, le président de Microsoft, Brad Smith, a été auditionné par la Chambre des représentants après que la Chine a volé une série de courriels du gouvernement fédéral américain sur les serveurs de Microsoft en 2023.

I haven't published it yet because I don't want my technique to be used for illegal purposes. I'm considering a publication strategy.

— slonser (@slonser_) June 15, 2024

Un rapport de ProPublica a également révélé la semaine dernière que Microsoft n'avait pas tenu compte des avertissements concernant une vulnérabilité critique qui a ensuite été exploitée dans le cadre de la campagne de cyberespionnage soutenue par la Russie qui a ciblé l'entreprise technologique SolarWinds. Andrew Harris, qui avait travaillé pour Microsoft entre 2016 et 2020, aurait averti l'entreprise à de multiples reprises au sujet d'une faille surnommée plus tard "Golden SAML" par l'éditeur de cybersécurité CyberArk. Comme dans l'exemple de Kokorin, Microsoft aurait également ignoré les avertissements de son employé.

Selon le rapport de ProPublica, si Microsoft avait réagi plus tôt aux avertissements de Harris, il aurait probablement pu contribuer à limiter certaines des attaques menées contre des clients de SolarWinds en exploitant la faille Golden SAML. Parmi les victimes attaquées à l'aide de cette vulnérabilité figurent des agences américaines comme la National Nuclear Security Administration et les National Institutes of Health. La firme de Redmond n'a pas contesté les révélations de ProPublica. Selon le rapport, Microsoft a préféré le profit à la sécurité et a laissé le gouvernement américain vulnérable à une campagne de piratage russe.

Lors de son audition, Smith s'est engagé à redoubler d'efforts pour donner la priorité à la cybersécurité au sein de l'entreprise après une série de problèmes de sécurité. Quelques mois plus tôt, en janvier, Microsoft a confirmé qu'un groupe de pirates informatiques lié au gouvernement russe s'était introduit dans les comptes de messagerie de l'entreprise pour voler des informations sur ce que les dirigeants de l'entreprise savaient au sujet des pirates eux-mêmes.

I didn't do this to get paid or anything like that. I’m just tired of Microsoft, I was already angry when they simply didn’t respond to my 0day in C# SMTP (check my last article), this just became the final point.

— slonser (@slonser_) June 16, 2024

En réponse aux réactions négatives, Kokorin a écrit : « je ne m'attendais pas à ce que mon message suscite une telle réaction. Honnêtement, je voulais juste partager ma frustration parce que cette situation m'a rendu triste. Beaucoup de gens m'ont mal compris, pensant que je veux de l'argent ou quelque chose de ce type. En réalité, je souhaite juste que les entreprises n'ignorent pas les chercheurs et qu'elles se montrent plus amicales lorsque vous essayez de les aider ».

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la réaction de Microsoft face à l'avertissement du chercheur en sécurité sur le bogue dans Outlook ?
Comment les entreprises doivent-elles réagir lorsqu'elles reçoivent de tels avertissements de la part des chercheurs en sécurité ?
Que pensez-vous des allégations selon lesquelles Microsoft a préféré le profit à la sécurité, facilitant ainsi le piratage massif de SolarWinds ?

Voir aussi

SolarWinds : Microsoft a préféré le profit à la sécurité et a laissé le gouvernement américain vulnérable à un piratage russe, selon un lanceur d'alerte, qui affirme avoir découvert la faille en 2016

Microsoft a résolu une faille de sécurité sur le service cloud Azure qui exposait les fichiers et les identifiants internes de l'entreprise à l'internet ouvert

Microsoft annonce que la sécurité informatique devient un critère de rémunération de ses cadres suite à des failles de sécurité jugées « évitables » et une communication estimée insuffisante