באג באאוטלוק מאפשר להתחזות לעובדי מיקרוסופט

חוקר אבטחה עצמאי גילה לאחרונה דבר מה מדאיג במיוחד לגבי פגיעות שמסתתרת באאוטלוק (Outlook) – מערכת הדואר האלקטרוני של מיקרוסופט (Microsoft).

החוקר, וסבולוד קוקורין המוכר בכינוי Slonser, חשף כי מצא באג המאפשר לכל אחד להתחזות ולשלוח חשבונות אימייל של מיקרוסופט, ושלמעשה כל גורם בעל כוונות זדון יכול לעשות בו שימוש כדי לשלוח מייל שנראה כאילו נשלח מטעם עובד לגיטימי של החברה.

הממצא החדש מהווה איום משמעותי במונחים של אבטחת סייבר, מכיוון שהוא עלול לשמש שחקנים זדוניים בקמפיינים של פישינג. דמיינו, מייל שנראה רשמי והגיע לכאורה מעובד מיקרוסופט, ובו התבקשתם למסור את פרטיכם מפאת תירוץ כזה או אחר – סיכוייכם להאמין לכך גדולים פי כמה וכמה מאשר כשהמייל מגיע ממקור עלום כלשהו, שיעורר מיד את חשדכם.

I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv

— slonser (@slonser_) June 14, 2024

מיקרוסופט לא מצאה על מה מדבר החוקר – אז הוא הראה לה ולכולם

אלא שהחומרה של הממצא לא הקפיצה מיד את מיקרוסופט – Slonser מיהר לדווח לענקית מרדמונד על הבאג המאפשר זיוף של הדוא"ל ממנה ומעובדיה, אך החברה דחתה את הדיווח שלו בטענה שחוקריה לא הצליחו לשחזר את ממצאיו אלו. הכחשה זו גרמה ל-Slonser לחשוף את הבאג בפומבי ב-X, אך מבלי לחשוף פרטים טכניים שיכולים לסייע לניצול הפרצה שגילה בידי אחרים.

בציוצו, אליו צורף צילום מסך של מייל מתחזה שהכין באמצעות פרצת האבטחה שגילה, כתב Slonser: "אני רוצה לשתף את המקרה האחרון שלי: > מצאתי נקודת תורפה שמאפשרת שליחת הודעה מכל user@domain > אנחנו לא יכולים לשחזר את זה > אני שולח סרטון עם הניצול, PoC מלא > אנחנו לא יכולים לשחזר את זה. בשלב זה, החלטתי להפסיק את התקשורת עם מיקרוסופט".

לפי Slonser, הבאג מאפשר שליחת מיילים מכל משתמש ותחום, אך הוא משפיע באופן ספציפי על חשבונות אאוטלוק, מהם יש לפחות 400 מיליון ברחבי העולם, לפי דו"ח הרווחים האחרון של מיקרוסופט.

"לא ציפיתי שהפוסט שלי יקבל תגובה כזו", צוטט החוקר בכתבה של TechCrunch בנדון. "בכנות, רק רציתי לחלוק את התסכול שלי כי המצב הזה עשה אותי עצוב", אמר. "הרבה אנשים הבינו אותי לא נכון וחושבים שאני רוצה כסף או משהו כזה. במציאות, אני רק רוצה שחברות לא יתעלמו מחוקרים ויהיו יותר ידידותיים כשאתה מנסה לעזור להם".

Slonser, שכפי שניתן להתרשם, הביע את תסכולו מתגובתה של מיקרוסופט, ומכך שלא הייתה פתוחה יותר לחוקרים המנסים לעזור לה. הוא הבהיר כי כוונתו לא הייתה להשיג בכך רווח אישי, אלא לטפח גישה שיתופית יותר בין חוקרים, תאגידים וחברות לשם שיפור אבטחת הסייבר הכללית.

לעת עתה לא ידוע אם מיקרוסופט סיפקה תיקון לבאג, וכן לא ברור בינתיים אם יש מי שגילה וניצל אותו.

Slonser עדכן היום (ד') בתגובות לציוץ המקורי שלו וכתב: "אני אסיר תודה לכל מי שפרסם-מחדש את הפוסט הזה והציע לי מילות תמיכה. בשלב זה, הם הכירו בבעיה. בנוסף, הם התייחסו לכמה מהדו"חות הישנים יותר שלי הקשורים לאימיילים".

הבטיח תעדוף לאבטחה והנחה את העובדים כך. מנכ"ל מיקרוסופט, סאטיה נאדלה. צילום: ריצ'ארד מורגנשטיין, מתוך ויקיפדיה

"האבטחה היא בתעדוף ראשוני"

מיקרוסופט, כידוע, חוותה כמה אתגרי אבטחה בשנים האחרונות – למשל כשבינואר האחרון האקרים רוסים המשתייכים לקבוצת המודיעין הרוסית שתקפה את סולארווינדס ב-2020, פרצו למיילים של בכיריה; או בפריצה למערכות הדוא"ל של הענקית מרדמונד שהתגלתה בראשונה ביוני 2023, אז נחשף כי האקרים שלוחי סין חדרו לכמה חשבונות דואר של מספר סוכנויות ממשלתיות בארה"ב. כמו כן החברה הפגינה כשלים שונים ומשונים בטיפול בפגמים קריטיים שהתגלו במוצריה. הרקורד הזה של החברה הגדיל את החששות לגבי מחויבותה לאבטחת סייבר וכן את חששות קברניטי החברה מנזקים משמעותיים שהמצב עלול להניב.

בחודש שעבר שלח סאטיה נאדלה, מנכ"ל מיקרוסופט, מזכר לעובדיו – תחת הכותרת 'עתיד בטוח' (Secure Future) – ובו כתב: "יש לתעדף את היבט האבטחה על פני שחרור רכיבים ושירותים חדשים, בעת הצורך". אנליסטים ציינו כי המזכר מהדהד לדו"ח פדרלי בו נמתחה ביקורת חריפה על נוהלי האבטחה של החברה.

"אם אתם מתלבטים בין אבטחת מידע לעדיפות אחרת, התשובה ברורה: עשו אבטחה", כתב המנכ"ל במזכר שפרסם. "במקרים מסוימים", המשיך נאדלה כפי שצוטט בידי The Verge, "המשמעות היא הענקת עדיפות לאבטחה על פני דברים אחרים שאנו עושים, כמו שחרור תכונות חדשות, או מתן תמיכה שוטפת למערכות מדור קודם. זהו המפתח לקידום איכות היכולות והפלטפורמה שלנו, כך שנוכל להגן על המרחבים הדיגיטליים של לקוחותינו ולבנות עולם בטוח יותר לכולם".