Wormable exploit nalezený v Microsoft Teams
1 min. číst
Publikované dne
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Výzkumník bezpečnosti Oskars Vegeris prozradil červivý exploit pro Microsoft Teams, který by zneužil chatovacího klienta pouze zobrazením zprávy bez jakékoli interakce uživatele.
Výsledkem je „úplná ztráta důvěrnosti a integrity pro koncové uživatele – přístup k soukromým chatům, souborům, interní síti, soukromým klíčům a osobním údajům mimo MS Teams,“ řekl Vegeris.
Využitím další chyby skriptování mezi weby (XSS) přítomné ve funkci „@mentions“ Teams a užitečné zátěži RCE založené na JavaScriptu lze kód rozšířit také na další uživatele aplikace Teams, což umožňuje samovolně se šířící exploit.
Tento exploit je také multiplatformní a ovlivňuje Windows, Mac, Linux a dokonce i webovou aplikaci.
Naštěstí pro uživatele Teams Vegeris objevil chybu v srpnu a Microsoft vydal opravu nedlouho poté na konci října 2020.
Vegeris také dříve odhalil kritickou „červovou“ chybu v desktopové verzi Slacku, která mohla umožnit útočníkovi převzít kontrolu nad systémem pouhým odesláním škodlivého souboru jinému uživateli Slacku.
přes Thehackernews