IT-специалист из Турции Ютку Сен обнаружил в Office 365 уязвимость, благодаря которой злоумышленники могли отправлять фишинговые письма, прикрываясь адресами в домене @microsoft.com.
Сен тестировал работу фильтров спама для Outlook 365, Gmail и «Яндекса» с использованием инструмента Social Engineering Email Sender и какой-то момент заметил, что «Яндекс» пометил некоторое его «спамерские» письма как легитимные. Это были письма, замаскированные под сообщения с адресов @microsoft.com, причём все они были перенаправлены на «Яндекс» через Office 365. Сен заметил, что Gmail тоже считает такие письма легитимными, но
то срабатывало только в том случае, если в адресе отправителя был указан домен Microsoft. Письма с адресами из других доменов неизменно попадали в папку «Спам».
Выяснить, чем вызвана эта проблема, Сен не смог, поэтому обратился за помощью к сообществу reddit. Пользователь reddit с ником ptmb предположил, что Outlook подписывает все письма собственным ключом DKIM и тем самым легитимизирует даже фишинговые послания. Вот как ptmb объяснил предполагаемый принцип работы Office 365:
— Вы получаете доказательство подлинности письма, но не от оригинального отправителя, а от того, кто переслал это письмо. Поскольку Outlook слепо подписывает все пересылаемые сообщения, письма, которые якобы были отправлены с адресов вида @microsoft.com, по случайному стечению обстоятельств получают подлинную DKIM-подпись от Microsoft, хотя оригинальное послание было совсем не от Microsoft.
Компания Microsoft была поставлена в известность об этой уязвимости Office 365 в сентябре 2016 года. Она подтвердила наличие проблемы и уже в октябре устранила её.
