Уэсли Вайнберг, исследователь из компании Synack, нашел в сервисе Outlook.com уязвимость, которая дает злоумышленнику возможность получить доступ ко всей электронной переписке жертвы. Используя уязвимость, преступник может обходить аутентификацию по OAuth.
Исследователем было разработано PoC-приложение Evil App, которое предназначается для доказательства наличия уязвимости. В своем блоге Вайнберг сообщил, что с помощью программы можно получить доступ ко всему контенту в учетной записи. Чтобы воспользоваться уязвимостью необходимо лишь, чтобы жертва открыла вредоносную веб-страницу.
Эксперт выразил уверенность в том, что хакерам удастся воспользоваться уязвимостью для создания почтового вируса. Вредоносное программное обеспечение, использующее уязвимость, организует без ведома жертвы рассылку спама пользователям из списка контактов. В сообщениях указана ссылка, при переходе на которую компьютеры получателей также окажутся будут заражены вредоносным программным обеспечением.
Уязвимость была устранена Microsoft в сентябре текущего года. За обнаружение бреши Уэсли Вайнберг получил вознаграждение в размере 24 тысяч долларов.