Cibercriminosos encontraram uma forma engenhosa de burlar filtros de spam e enganar usuários, tudo isso usando uma conta interna da Microsoft. A brecha permite que golpistas enviem e-mails de spam e phishing a partir de um endereço de e-mail legítimo da empresa, tipicamente usado para alertas de conta genuínos.
O problema foi detalhado pelo pesquisador de segurança checo Jan Vojtěšek, da ThreatMon, em uma postagem de blog. Ele descobriu um buraco de segurança que possibilita a inserção de conteúdo arbitrário em e-mails enviados por um endereço interno da Microsoft, que possui o domínio @email.microsoft.com.
Como o golpe funciona?
Vojtěšek explica que uma função específica, um endpoint, que permite que o destinatário do e-mail altere seu endereço primário para o envio de mensagens, pode ser manipulada. “Um endpoint que permite que o destinatário do e-mail altere seu endereço de e-mail primário é vulnerável a um ataque de injeção de URL ou link”, escreveu o pesquisador. Ele compara a falha a um atacante que consegue “sequestrar” o servidor de e-mail da Microsoft para enviar mensagens legítimas.
Ainda segundo Vojtěšek, o atacante pode incluir parâmetros de URL arbitrários no link de atualização de e-mail. Isso faz com que os links nos e-mails oficiais pareçam ter sido gerados por um serviço legítimo da Microsoft. Os e-mails, com a aparência de autenticidade, chegam à caixa de entrada do usuário, contornando a maioria dos filtros de spam. O pesquisador também demonstrou como é possível injetar HTML e texto nos e-mails, que normalmente deveriam ser enviados de forma segura pela Microsoft.
Ele relatou o problema à Microsoft em março de 2024, mas a empresa não o considerou uma ameaça de segurança que exigisse correção, atribuindo uma pontuação de gravidade de “Baixa”. A companhia alegou que as proteções existentes seriam suficientes para mitigar os riscos. No entanto, Vojtěšek discorda, afirmando que já identificou campanhas de phishing que exploram essa vulnerabilidade.
“Esta descoberta sublinha um vetor de ataque frequentemente negligenciado, onde a reputação e a infraestrutura de remetentes de e-mail confiáveis podem ser transformadas em uma ferramenta potente para campanhas de phishing e spam”, alertou Vojtěšek. Ele acrescenta que “a capacidade de abusar de e-mails de notificação aparentemente legítimos para entrega de conteúdo malicioso representa um desafio significativo para a segurança dos e-mails”.
A situação é preocupante, pois e-mails que parecem vir de domínios legítimos são mais propensos a enganar usuários desavisados. A exploração dessa brecha já está em curso, com golpistas a utilizando para disseminar spam, como promoções de criptomoedas, e links maliciosos de phishing, conforme as evidências coletadas pelo pesquisador.