Wormable exploit nalezený v Microsoft Teams

Domů » Týmy společnosti Microsoft

Ikona času čtení 1 min. číst

Ikona kalendáře Publikované dne

by Surur Davids 

publikováno dne

Sdílejte tento článek

Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi. Ikona popisku

Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více

týmy microsoft zneužívají

Výzkumník bezpečnosti Oskars Vegeris prozradil červivý exploit pro Microsoft Teams, který by zneužil chatovacího klienta pouze zobrazením zprávy bez jakékoli interakce uživatele.

Výsledkem je „úplná ztráta důvěrnosti a integrity pro koncové uživatele – přístup k soukromým chatům, souborům, interní síti, soukromým klíčům a osobním údajům mimo MS Teams,“ řekl Vegeris.

Využitím další chyby skriptování mezi weby (XSS) přítomné ve funkci „@mentions“ Teams a užitečné zátěži RCE založené na JavaScriptu lze kód rozšířit také na další uživatele aplikace Teams, což umožňuje samovolně se šířící exploit.

Tento exploit je také multiplatformní a ovlivňuje Windows, Mac, Linux a dokonce i webovou aplikaci.

Naštěstí pro uživatele Teams Vegeris objevil chybu v srpnu a Microsoft vydal opravu nedlouho poté na konci října 2020.

Vegeris také dříve odhalil kritickou „červovou“ chybu v desktopové verzi Slacku, která mohla umožnit útočníkovi převzít kontrolu nad systémem pouhým odesláním škodlivého souboru jinému uživateli Slacku.

přes Thehackernews

Více o tématech: využít, Týmy společnosti Microsoft, zabezpečení

Surur Davids

Surur Davids Štít

Expert na chytré telefony

Surur Davids je zakladatelem WMPoweruser, který se později stal MSPoweruser.com. Je to odborník na chytré telefony s více než desetiletými zkušenostmi.