Yüz avuç içi: Microsoft, zayıf güvenlik uygulamalarını düzeltmeye odaklanırken, birçok hizmet ve ürünündeki kritik hatalar ortaya çıkmaya devam ediyor. Bir araştırmacı aylar önce Outlook’ta tehlikeli bir kusur keşfetti, ancak Microsoft yanıt vermek ve düzeltmeye çalışmak için şimdiye kadar bekledi.
SolidLab güvenlik araştırmacısı Vsevolod Kokorin, herhangi bir Outlook hesabını taklit etmesine ve görünüşte meşru kullanıcılardan potansiyel olarak kötü amaçlı e-postalar göndermesine olanak tanıyan bir güvenlik açığı keşfetti. Kokorin, Microsoft’un güvenlik ekibini kandırarak kritik hatayı gösterdi ancak Redmond’un tepkisi tam olarak beklediği gibi olmadı.
SolidLab, kusuru aylar önce keşfetti ve Microsoft’u hemen uyardı. Şirket, sorunu yeniden oluşturamayacağını söyledi ve bu nedenle Kokorin, “tam” bir kavram kanıtı (PoC) ile başarılı istismarını gösteren bir görüntü gönderdi. Kimliğe bürünme PoC istismarı yalnızca dünya çapında 400 milyon kullanıcısı olan hala en popüler e-posta hizmetlerinden biri olan Outlook hesabına posta gönderirken işe yarıyor. Microsoft hatayı yeniden oluşturamadığı için şirket sorunu kapattı.
Son yaşadığım durumu paylaşmak istiyorum:
> Herhangi bir kullanıcı@etki alanından mesaj gönderilmesine izin veren bir güvenlik açığı buldum
> Bunu yeniden üretemeyiz
> Kullanımla ilgili bir görüntü, tam bir PoC gönderiyorum
> Bunu yeniden üretemeyiz
Bu noktada Microsoft ile iletişimi kesmeye karar verdim. pic.twitter.com/mJDoHTn9Xv– slonser (@slonser_) Haziran 14, 2024
Kokorin, hayal kırıklığını X’e bağırarak ve hatanın teknik ayrıntılarını TechCrunch ile özel olarak paylaşarak dile getirdi. Kendisine kızacak bir kalabalığın oluşmasını beklemiyordu. Birçoğu onun niyetini “yanlış anladı” ve onu parasal kazanç için halkın dikkatini çekmekle suçladı. Kokorin, tek isteğinin Microsoft gibi dev şirketleri araştırmacıları görmezden gelmeyi bırakmaya ve yazılımlarındaki potansiyel zarar verici hatalara karşı uyarıldığında daha az umursamaz davranmaya zorlamak olduğunu söyledi.
Tech Crunch’a konuşan Kokorin, “Gönderimin bu kadar tepki alacağını beklemiyordum. Doğrusunu söylemek gerekirse bu durum beni üzdüğü için sadece hayal kırıklığımı paylaşmak istedim.” dedi. “Birçok insan beni yanlış anladı ve para ya da buna benzer bir şey istediğimi düşünüyor. Gerçekte ben şirketlerin araştırmacıları görmezden gelmemelerini ve onlara yardım etmeye çalıştığınızda daha arkadaş canlısı olmalarını istiyorum.”
Şaşırtıcı bir şekilde, Outlook hatasıyla ilgili sahte X öfkesi, Kokorin’in umduğu şeyi yaptı. Microsoft sorunu yeniden açtı. Redmond muhtemelen Kokorin’in gönderisini fark etti ve sunduğu raporları yeniden inceledi. Outlook e-posta hatası bu yazının yazıldığı sırada hala açıktı.
Microsoft CEO’su Satya Nadella geçtiğimiz günlerde şirketin güvenlik hatalarıyla başa çıkma konusundaki uygulamalarından duyduğu memnuniyetsizliği dile getirdi. Nadella, tüm ekipleri ve projeleri kapsayan şirket çapındaki bir girişimde Microsoft’un artık güvenliğe her şeyin üzerinde öncelik vermesi gerektiğini açıklayan bir şirket içi not gönderdi. ABD Siber Güvenlik İnceleme Kurulu da Windows ve diğer ürünlerle ilgili büyük güvenlik olaylarını araştırdıktan sonra Microsoft’un uygulamalarını “yetersiz” olarak nitelendirdi.