Microsoft, güvenlik uygulamalarını güçlendirmeye odaklanırken, hizmetlerindeki kritik hatalar ortaya çıkmaya devam ediyor. Bir araştırmacı, aylar önce Outlook’ta tehlikeli bir açık keşfetti, ancak Microsoft bu soruna şimdi yanıt verip çözüm üretmeye başladı.
SolidLab güvenlik araştırmacısı Vsevolod Kokorin, herhangi bir Outlook hesabını taklit ederek meşru gibi görünen potansiyel olarak zararlı e-postalar göndermesine izin veren bir güvenlik açığı keşfetti. Kokorin, bu kritik hatayı Microsoft’un güvenlik ekibini taklit ederek gösterdi, ancak Redmond’dan beklediği yanıtı alamadı.
SolidLab, aylar önce bu hatayı keşfetti ve hemen Microsoft’a bildirdi. Şirket, sorunu yeniden üretemediğini söyledi, bu yüzden Kokorin açığı tam bir kanıt konsepti (PoC) ile gösteren bir video gönderdi. Taklit PoC istismarı, yalnızca bir Outlook hesabına e-posta gönderirken çalışıyor, ve bu hizmet dünya çapında 400 milyon kullanıcı ile hala en popüler e-posta hizmetlerinden biri. Microsoft, hatayı yeniden üretemediği için konuyu kapattı.
Kokorin, X platformunda hayal kırıklığını dile getirdi. Beklediği gibi olmadı ve birçok kişi onun niyetini yanlış anladı ve kamuoyu dikkatini para kazanmak için kullandığını düşündü. Kokorin, dev şirketlerin araştırmacıları görmezden gelmeyi bırakmasını ve yazılımlarındaki potansiyel zarar verici hatalara karşı daha az küçümseyici olmasını istediğini belirtti.
“Gönderimin böyle bir tepki alacağını beklemiyordum. Dürüst olmak gerekirse, sadece hayal kırıklığımı paylaşmak istedim çünkü bu durum beni üzdü,” dedi Kokorin. “Birçok insan beni yanlış anladı ve para istediğimi veya benzeri bir şey istediğimi düşündü. Gerçekte, sadece şirketlerin araştırmacıları görmezden gelmemesini ve yardım etmeye çalıştığınızda daha dostça olmasını istiyorum.”
Şaşırtıcı bir şekilde, Outlook hatası hakkında ortaya çıkan kamuoyu tepkisi Kokorin’in umduğu şeyi yaptı. Microsoft, konuyu yeniden açtı. Redmond muhtemelen Kokorin’in gönderisini fark etti ve sunduğu raporları yeniden inceledi. Outlook e-posta hatası, bu yazının yazıldığı sırada hala açık durumda.
Microsoft CEO’su Satya Nadella, şirketin güvenlik hatalarını ele alış şekilleri konusunda memnuniyetsizliğini dile getirdi. Nadella, şirket genelinde tüm ekipleri ve projeleri kapsayan bir itici güç olarak güvenliğin her şeyden önce gelmesi gerektiğini açıklayan bir iç memo gönderdi. ABD Siber Güvenlik İnceleme Kurulu, Windows ve diğer ürünlerle ilgili büyük güvenlik olaylarını araştırdıktan sonra Microsoft’un uygulamalarını “yetersiz” olarak nitelendirdi.
