Wormable exploit a Microsoft Teamsben

Kezdőlap » Microsoft csapatok

Olvasási idő ikonra 1 perc olvas

Naptár ikonra Publikálva

by Surur Davids 

közzétették

Ossza meg ezt a cikket

Az olvasók segítenek az MSpoweruser támogatásában. Kaphatunk jutalékot, ha a linkjeinken keresztül vásárol. Eszköztipp ikon

Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább

a microsoft csapatok kihasználják

Biztonsági kutató Oskars Vegeris elárulta a Microsoft Teams számára egy féregteleníthető exploit, amely a csevegőklienst úgy használja ki, hogy csak egy üzenetet néz meg, felhasználói beavatkozás nélkül.

Az eredmény a „végfelhasználók bizalmasságának és integritásának teljes elvesztése – hozzáférés a privát chatekhez, fájlokhoz, belső hálózathoz, privát kulcsokhoz és személyes adatokhoz az MS Teams-en kívül” – mondta Vegeris.

A Teams „@mentions” funkciójában és a JavaScript-alapú RCE hasznos terhelésben jelenlévő másik XSS-hiba kihasználásával a kód a Teams alkalmazás többi felhasználójához is eljuttatható, így önterjedő kizsákmányolást tesz lehetővé.

A kizsákmányolás többplatformos is, érintve a Windows-t, a Mac-et, a Linuxot és még a webalkalmazást is.

A Teams-felhasználók szerencséjére Vegeris augusztusban fedezte fel a hibát, a Microsoft pedig nem sokkal később, 2020. október végén kiadott egy javítást.

Vegeris korábban felfedte a Slack asztali verziójának kritikus „férgezhető” hibáját is, amely lehetővé tehette volna a támadók számára, hogy átvegyék a rendszert azáltal, hogy egyszerűen elküldenek egy rosszindulatú fájlt egy másik Slack-felhasználónak.

keresztül Thehackernews

Bővebben a témákról: kihasználni, Microsoft csapatok, biztonság

Surur Davids

Surur Davids Shield

Okostelefon szakértő

Surur Davids a WMPoweruser alapítója, amely később MSPoweruser.com lett. Több mint egy évtizedes tapasztalattal rendelkező okostelefon-szakértő.