اکسپلویت Wormable در تیم های مایکروسافت یافت شد

محقق امنیتی Oskars Vegeris فاش کرد یک اکسپلویت کرم‌پذیر برای تیم‌های مایکروسافت، که از کلاینت چت تنها با مشاهده یک پیام، بدون هیچ گونه تعامل کاربر، سوء استفاده می‌کند.

Vegeris گفت که نتیجه "از دست دادن کامل محرمانگی و یکپارچگی برای کاربران نهایی است - دسترسی به چت های خصوصی، فایل ها، شبکه داخلی، کلیدهای خصوصی و داده های شخصی خارج از تیم های MS".

با بهره‌برداری از یکی دیگر از نقص‌های اسکریپت‌نویسی متقابل (XSS) موجود در عملکرد Teams '@mentions' و یک بار RCE مبتنی بر جاوا اسکریپت، کد می‌تواند به سایر کاربران برنامه Teams نیز پخش شود و یک سوء استفاده خودگسترش ایجاد کند.

این اکسپلویت همچنین کراس پلتفرم است و بر ویندوز، مک، لینوکس و حتی برنامه وب تأثیر می گذارد.

خوشبختانه برای کاربران تیمز، Vegeris این نقص را در ماه آگوست کشف کرد و مایکروسافت پس از مدت کوتاهی در پایان اکتبر 2020 یک پچ را منتشر کرد.

Vegeris همچنین قبلاً یک نقص "کرم‌پذیر" مهم را در نسخه دسکتاپ Slack فاش کرده بود که می‌توانست به مهاجم اجازه دهد تا با ارسال یک فایل مخرب به یک کاربر دیگر Slack، سیستم را کنترل کند.

از طريق Thehackernews