Un chercheur en cyberscurit dclare avoir dcouvert un bogue qui permet n’importe qui d’usurper l’identit des comptes de messagerie d’entreprise de Microsoft. La vulnrabilit affecterait le client de courrier lectronique propritaire Outlook de Microsoft qui compte plus de 400 millions d’utilisateurs dans le monde. Cela signifie que l’exploitation de cette vulnrabilit pourrait avoir des consquences dvastatrices. Le chercheur a annonc la nouvelle sur X aprs avoir tent en vain d’attirer discrtement l’attention de Microsoft sur ce bogue. Il s’indigne du comportement de Microsoft et la vulnrabilit n’avait toujours pas t corrige la date du 18 juin.
Vsevolod Kokorin, chercheur en scurit chez SolidLab , a publi sur X (anciennement Twitter) qu’il avait dcouvert une vulnrabilit qui permettait d’envoyer des messages partir de n’importe quel domaine d’utilisateur. Le chercheur, connu en ligne sous le nom de « Slonser », a expliqu qu’il avait dcouvert le bogue d’usurpation d’adresse lectronique et qu’il l’avait signal Microsoft, mais l’entreprise a rejet son rapport aprs avoir dclar qu’elle ne pouvait pas reproduire ses dcouvertes. Ce qui a pouss Kokorin publier la nouvelle sur X, sans fournir de dtails techniques pouvant aider d’autres personnes l’exploiter.
Microsoft a simplement dit qu’il ne pouvait pas reproduire le problme sans fournir de dtails. Microsoft a peut-tre remarqu mon tweet parce qu’il y a quelques heures, ils ont rouvert [sic] l’un de mes rapports que j’avais soumis il y a plusieurs mois , a dclar Kokorin TechCrunch lors d’une conversation en ligne. Kokorin a dclar avoir contact Microsoft pour la dernire fois le 15 juin. Sa publication sur X remonte la veille. Pour dmontrer que la vulnrabilit existe et est exploitable, Kokorin a envoy au mdia un courriel qui semble provenir de Microsoft Security, la division charge des questions de scurit chez Microsoft.
I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv— slonser (@slonser_) June 14, 2024
Kokorin a dclar que le bogue ne se produit que lors de l’envoi de courriers lectroniques des comptes Outlook. Pour rappel, Outlook est un programme que les gens utilisent pour grer leurs courriels, leurs calendriers et leurs contacts. Le logiciel aide les utilisateurs rester organiss en conservant tous leurs courriels au mme endroit. Ils peuvent en outre planifier des rendez-vous et des runions dans le calendrier et garder une trace des informations relatives leurs contacts. Selon les donnes de Microsoft, Outlook compte pas moins de 400 millions d’utilisateurs, ce qui reprsente une plage d’attaque importante pour les pirates.
C’est la raison pour laquelle Kokorin n’a rvl aucun dtail technique sur le bogue, invoquant « la ncessit d’empcher les acteurs malveillants de l’exploiter ». Le chercheur a critiqu la position de Microsoft en dclarant : lorsque j’ai signal un problme similaire Google, le problme a t rsolu immdiatement et n’a pas t ignor . Microsoft semble s’tre intress au problme soulev par Kokorin aprs que sa publication sur X est devenue virale et a suscit des commentaires critiques. Il a dclar : Microsoft semble avoir remarqu mon message et m’a contact pour me dire qu’ils avaient repris les tests sur ce bogue .
L’on ignore si une autre personne que Kokorin a pu identifier ce bogue ni s’il a t exploit de manire malveillante. Bien que la menace de ce bogue soit inconnue ce stade, Microsoft a connu plusieurs problmes de scurit ces dernires annes qui ont conduit des enqutes de la part des autorits de rgulation fdrales et des lgislateurs du Congrs amricain. La semaine dernire, le prsident de Microsoft, Brad Smith, a t auditionn par la Chambre des reprsentants aprs que la Chine a vol une srie de courriels du gouvernement fdral amricain sur les serveurs de Microsoft en 2023.
I haven’t published it yet because I don’t want my technique to be used for illegal purposes. I’m considering a publication strategy.
— slonser (@slonser_) June 15, 2024
Un rapport de ProPublica a galement rvl la semaine dernire que Microsoft n’avait pas tenu compte des avertissements concernant une vulnrabilit critique qui a ensuite t exploite dans le cadre de la campagne de cyberespionnage soutenue par la Russie qui a cibl l’entreprise technologique SolarWinds. Andrew Harris, qui avait travaill pour Microsoft entre 2016 et 2020, aurait averti l’entreprise de multiples reprises au sujet d’une faille surnomme plus tard « Golden SAML » par l’diteur de cyberscurit CyberArk. Comme dans l’exemple de Kokorin, Microsoft aurait galement ignor les avertissements de son employ.
Selon le rapport de ProPublica, si Microsoft avait ragi plus tt aux avertissements de Harris, il aurait probablement pu contribuer limiter certaines des attaques menes contre des clients de SolarWinds en exploitant la faille Golden SAML. Parmi les victimes attaques l’aide de cette vulnrabilit figurent des agences amricaines comme la National Nuclear Security Administration et les National Institutes of Health. La firme de Redmond n’a pas contest les rvlations de ProPublica. Selon le rapport, Microsoft a prfr le profit la scurit et a laiss le gouvernement amricain vulnrable une campagne de piratage russe.
Lors de son audition, Smith s’est engag redoubler d’efforts pour donner la priorit la cyberscurit au sein de l’entreprise aprs une srie de problmes de scurit. Quelques mois plus tt, en janvier, Microsoft a confirm qu’un groupe de pirates informatiques li au gouvernement russe s’tait introduit dans les comptes de messagerie de l’entreprise pour voler des informations sur ce que les dirigeants de l’entreprise savaient au sujet des pirates eux-mmes.
I didn’t do this to get paid or anything like that. Im just tired of Microsoft, I was already angry when they simply didnt respond to my 0day in C# SMTP (check my last article), this just became the final point.
— slonser (@slonser_) June 16, 2024
En rponse aux ractions ngatives, Kokorin a crit : je ne m’attendais pas ce que mon message suscite une telle raction. Honntement, je voulais juste partager ma frustration parce que cette situation m’a rendu triste. Beaucoup de gens m’ont mal compris, pensant que je veux de l’argent ou quelque chose de ce type. En ralit, je souhaite juste que les entreprises n’ignorent pas les chercheurs et qu’elles se montrent plus amicales lorsque vous essayez de les aider .
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la raction de Microsoft face l’avertissement du chercheur en scurit sur le bogue dans Outlook ?
Comment les entreprises doivent-elles ragir lorsqu’elles reoivent de tels avertissements de la part des chercheurs en scurit ?
Que pensez-vous des allgations selon lesquelles Microsoft a prfr le profit la scurit, facilitant ainsi le piratage massif de SolarWinds ?
Voir aussi