Wormable exploit a Microsoft Teamsben
1 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Biztonsági kutató Oskars Vegeris elárulta a Microsoft Teams számára egy féregteleníthető exploit, amely a csevegőklienst úgy használja ki, hogy csak egy üzenetet néz meg, felhasználói beavatkozás nélkül.
Az eredmény a „végfelhasználók bizalmasságának és integritásának teljes elvesztése – hozzáférés a privát chatekhez, fájlokhoz, belső hálózathoz, privát kulcsokhoz és személyes adatokhoz az MS Teams-en kívül” – mondta Vegeris.
A Teams „@mentions” funkciójában és a JavaScript-alapú RCE hasznos terhelésben jelenlévő másik XSS-hiba kihasználásával a kód a Teams alkalmazás többi felhasználójához is eljuttatható, így önterjedő kizsákmányolást tesz lehetővé.
A kizsákmányolás többplatformos is, érintve a Windows-t, a Mac-et, a Linuxot és még a webalkalmazást is.
A Teams-felhasználók szerencséjére Vegeris augusztusban fedezte fel a hibát, a Microsoft pedig nem sokkal később, 2020. október végén kiadott egy javítást.
Vegeris korábban felfedte a Slack asztali verziójának kritikus „férgezhető” hibáját is, amely lehetővé tehette volna a támadók számára, hogy átvegyék a rendszert azáltal, hogy egyszerűen elküldenek egy rosszindulatú fájlt egy másik Slack-felhasználónak.
keresztül Thehackernews