마이크로소프트 이메일 클라이언트인 아웃룩(Outlook)으로 이메일을 보낼 때 누구나 마이크로소프트 직원을 가장한 이메일을 보낼 수 있는 버그가 발견됐다.
I want to share my recent case:
— slonser (@slonser_) June 14, 2024
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv
솔리드랩(SolidLab) 보안 연구원(VsevolodKokorin)은 엑스에 임의 사용자 도메인에서 메시지를 보낼 수 있는 취약점을 발견했다는 글을 올렸다. 실제로 그는 마이크로소프트 보안 부서(Microsoft Security)에서 보낸 것처럼 보이는 이메일을 공개했다.
이에 따르면 이 버그는 아웃룩 계정으로 이메일을 보낼 때만 발생한다고 한다. 하지만 마이크로소프트는 아웃룩 사용자 수를 전 세계적으로 4억 명이라고 보고했기 때문에 버그 영향 범위가 상당히 클 것으로 우려된다. 따라서 악의적인 해커가 이번 버그를 악용하는 걸 막기 위해 버그에 대한 기술적 세부 사항을 공개하지 않았다.
연구원은 마이크로소프트 측에 이번 버그를 보고했지만 마이크로소프트는 보고 내용을 재현할 수 없다며 조사를 거부했다. 따라서 그는 이번 버그를 X에 알렸다고 한다. 그는 마이크로소프트 측의 이런 태도에 대해 유사 문제를 구글에 보고했을 때는 곧바로 해결되고 무시당하지 않았다고 비판했다.
이후 그는 마이크로소프트가 자신의 게시물을 알아차린 것 같고 이번 버그에 대한 검증을 재개했다는 연락을 받았다고 말했다. 그는 기업은 연구원을 가볍게 여기지 말고 좀 더 친절하게 대해주길 바란다고 덧붙였다. 관련 내용은 이곳에서 확인할 수 있다.