Microsoft Teamsista löytyi madottava hyväksikäyttö
1 min. lukea
Julkaistu
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Turvallisuustutkija Oskars Vegeris on paljastanut madotettava Microsoft Teamsin hyväksikäyttö, joka hyödyntäisi chat-asiakasta vain katsomalla viestiä ilman käyttäjän toimia.
Tuloksena on "loppukäyttäjien luottamuksellisuuden ja eheyden täydellinen menetys - pääsy yksityisiin keskusteluihin, tiedostoihin, sisäiseen verkkoon, yksityisiin avaimiin ja henkilökohtaisiin tietoihin MS Teamsin ulkopuolella", Vegeris sanoi.
Hyödyntämällä toista cross-site scripting (XSS) -virhettä, joka on Teamsin @mainintoja -toiminnassa ja JavaScript-pohjainen RCE-hyötykuorma, koodia voidaan levittää myös muille Teams-sovelluksen käyttäjille, mikä mahdollistaa itsensä leviävän hyväksikäytön.
Hyökkäys on myös monialustainen, ja se vaikuttaa Windowsiin, Maciin, Linuxiin ja jopa verkkosovellukseen.
Teams-käyttäjien onneksi Vegeris havaitsi vian elokuussa, ja Microsoft julkaisi korjaustiedoston pian lokakuun 2020 lopussa.
Vegeris oli myös aiemmin paljastanut kriittisen "madotettavan" virheen Slackin työpöytäversiossa, joka olisi voinut antaa hyökkääjän ottaa järjestelmän haltuunsa yksinkertaisesti lähettämällä haitallisen tiedoston toiselle Slackin käyttäjälle.
kautta The hackernews