Recientemente, un investigador ha encontrado un error que permite a cualquiera hacerse pasar por cuentas de correo electrónico corporativas de Microsoft, haciendo que los intentos de phishing parezcan creíbles y con más probabilidades de engañar a sus objetivos. Por el momento, el error no ha sido corregido. Es de resaltar que, para demostrar el error, el investigador envió un correo electrónico al medio de noticias, TechCrunch, que parecía enviado por el equipo de seguridad de cuentas de Microsoft. A continuación le comentamos todos los detalles acerca del nuevo bicho (bug) en su email.
Esto es lo que debe saber acerca del nuevo bicho en su email
La semana pasada, Vsevolod Kokorin, también conocido en línea como “Slonser”, escribió en X/Twitter que halló el error de suplantación de correo electrónico y lo informó a Microsoft, pero la compañía desestimó su informe luego de decir que no podía reproducir sus descubrimientos. Esto llevó a Kokorin a publicar el error en X, sin suministrar detalles técnicos que ayudarían a otros a explotarlo.
I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv— slonser (@slonser_) June 14, 2024
Vale la pena destacar que, el error, según Kokorin, sólo funciona al enviar el correo electrónico a cuentas de Outlook. Aun así, se trata de un grupo de al menos 400 millones de usuarios en todo el mundo, según el último informe de ganancias de Microsoft.
Por el momento, no se sabe si alguien además de de dicho investigador halló el error o si ha sido explotado maliciosamente. Lastimosamente, Microsoft ha experimentado diversos problemas de seguridad en los últimos años, lo que provocó investigaciones tanto por parte de reguladores federales como de legisladores del Congreso.
