Outlook hesaplarında yakın zamanda çeşitli medya kuruluşlarında bildirilen bir güvenlik açığının, saldırganların kurbanlara Microsoft'unkiler gibi sahte gönderen adresleriyle e-posta göndermesine olanak tanıdığı söyleniyor. Keşfedene göre, DKIM ve DMARC gibi koruma mekanizmaları bypass edilerek hiçbir uyarı görüntülenmiyor. Ancak Microsoft hatayı anlayamıyor.
Duyuru
X'te (eski adıyla Twitter) Slonser takma adını kullanan Vsevolod Kokorin, Techcrunch ile aradaki farkı gösterdi. Dergiye “Microsoft Hesap Güvenliği Ekibi”nden geliyormuş gibi görünen sahte bir e-posta göndererek sanki gerçekten oradan gelmiş gibi görünmesini sağladı. Ancak biz editör ekibi olarak bunu herhangi bir hatadan yararlanmadan, yalnızca e-posta başlıklarını değiştirerek yapmayı başardık. Ancak diğer şeylerin yanı sıra sunucular, DMARC için uyarılara veya filtrelere neden olabilecek “katı” bir politika kullanmaz.
Kimlik avı saldırıları riski
Güvenlik açığı, örneğin saldırganların Microsoft'tan gelen mesajları taklit etmesine olanak tanıyor. Bu, daha güvenilir kimlik avı e-postaları üretebilir ve potansiyel kurbanları alt etme olasılıklarını artırabilir. Kokorin aradaki fark hakkında hiçbir ayrıntı vermiyor. Haberler ona çevrimiçi olarak sorduğunda bile daha fazla bilgi vermek istemedi çünkü bu boşluğu başkalarının zararına kötüye kullanabiliriz. Ancak şunu yineledi: “Mesele şu ki, güvenlik açığı herhangi bir adla e-postayı Outlook postasına göndermenize ve DMARC gibi tüm güvenlik mekanizmalarını atlamanıza olanak tanıyor.”
Kokorin, X'te Microsoft'un kendisine şirketin güvenlik açığını yeniden oluşturamayacağını söylediğini söyledi. Ayrıca, konseptin tam bir kanıtı olan güvenlik açığından yararlanan bir video da sundu. Microsoft'un hatayı yeniden oluşturamayacağını bir kez daha belirtmesinin ardından bilgisayar araştırmacısı vazgeçti. Kokorin, Techcrunch'a Microsoft'un tweet'ten haberdar olabileceğini çünkü aylar önce kapatılan davanın yeniden açıldığını ekledi. Ancak Techcrunch ile iletişime geçtiğinde Microsoft'un herhangi bir yorumu olmadı.
Bir Microsoft sözcüsü sorgulandığında Haberler Online'a şunları söyledi: “Davayı araştırıyoruz ve gerekirse müşterileri korumak için önlemler alacağız.”
Sonuçta geriye DMARC, DKIM ve benzeri koruma mekanizmalarının bir güvenlik açığı nedeniyle başarısız olması kalıyor. Dolayısıyla Outlook ve Office 365 / Microsoft 365 kullanıcıları, bu mekanizmalar etkinleştirilmiş olsa bile gelen e-postaların gerçekliğine güvenemez. Kimlik avı saldırılarına karşı her zaman dikkatli olmalısınız.
(Bilmiyorum)
Duyuru
X'te (eski adıyla Twitter) Slonser takma adını kullanan Vsevolod Kokorin, Techcrunch ile aradaki farkı gösterdi. Dergiye “Microsoft Hesap Güvenliği Ekibi”nden geliyormuş gibi görünen sahte bir e-posta göndererek sanki gerçekten oradan gelmiş gibi görünmesini sağladı. Ancak biz editör ekibi olarak bunu herhangi bir hatadan yararlanmadan, yalnızca e-posta başlıklarını değiştirerek yapmayı başardık. Ancak diğer şeylerin yanı sıra sunucular, DMARC için uyarılara veya filtrelere neden olabilecek “katı” bir politika kullanmaz.
Kimlik avı saldırıları riski
Güvenlik açığı, örneğin saldırganların Microsoft'tan gelen mesajları taklit etmesine olanak tanıyor. Bu, daha güvenilir kimlik avı e-postaları üretebilir ve potansiyel kurbanları alt etme olasılıklarını artırabilir. Kokorin aradaki fark hakkında hiçbir ayrıntı vermiyor. Haberler ona çevrimiçi olarak sorduğunda bile daha fazla bilgi vermek istemedi çünkü bu boşluğu başkalarının zararına kötüye kullanabiliriz. Ancak şunu yineledi: “Mesele şu ki, güvenlik açığı herhangi bir adla e-postayı Outlook postasına göndermenize ve DMARC gibi tüm güvenlik mekanizmalarını atlamanıza olanak tanıyor.”
Kokorin, X'te Microsoft'un kendisine şirketin güvenlik açığını yeniden oluşturamayacağını söylediğini söyledi. Ayrıca, konseptin tam bir kanıtı olan güvenlik açığından yararlanan bir video da sundu. Microsoft'un hatayı yeniden oluşturamayacağını bir kez daha belirtmesinin ardından bilgisayar araştırmacısı vazgeçti. Kokorin, Techcrunch'a Microsoft'un tweet'ten haberdar olabileceğini çünkü aylar önce kapatılan davanın yeniden açıldığını ekledi. Ancak Techcrunch ile iletişime geçtiğinde Microsoft'un herhangi bir yorumu olmadı.
Bir Microsoft sözcüsü sorgulandığında Haberler Online'a şunları söyledi: “Davayı araştırıyoruz ve gerekirse müşterileri korumak için önlemler alacağız.”
Sonuçta geriye DMARC, DKIM ve benzeri koruma mekanizmalarının bir güvenlik açığı nedeniyle başarısız olması kalıyor. Dolayısıyla Outlook ve Office 365 / Microsoft 365 kullanıcıları, bu mekanizmalar etkinleştirilmiş olsa bile gelen e-postaların gerçekliğine güvenemez. Kimlik avı saldırılarına karşı her zaman dikkatli olmalısınız.
(Bilmiyorum)