微軟信件系統有漏洞，駭客可冒充寄件人

網路釣魚通常用相似寄件地址，如果直接從「可信的」地址發信更令人防不勝防。研究員發現微軟（Microsoft）信件系統漏洞，任何人都能冒充微軟帳號寄信。

截至目前漏洞還未修補。研究員 Vsevolod Kokorin 在 X（前 Twitter）透露，發現電子郵件系統漏洞後，已報告微軟但被駁回，無法重現漏洞。故 Kokorin 公開漏洞，但沒有分享其他人可能利用的細節，之後微軟重新調查。

I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv

— slonser (@slonser_) June 14, 2024

Kokorin 說漏洞影響發送至 Outlook 帳號的信件，微軟最新報告，全球至少 4 億用戶還在用 Outlook。雖然有潛在威脅性，但微軟未發表評論。Kokorin 披露漏洞後被不少人指責，但他強調目的是鼓勵公司認真對待資安研究員。

還沒有證據顯示漏洞遭惡意利用，不過對要求登入任何系統的信件都需保持警惕，就算寄件者看起來可信任也不能掉以輕心。

• Security bug allows anyone to spoof Microsoft employee emails

（本文由 Unwire Pro 授權轉載；首圖來源：Unsplash）