Wormbare exploit gevonden in Microsoft Teams

Home » Microsoft Teams

Pictogram voor leestijd 1 minuut. lezen

Kalender pictogram Uitgegeven op

by Surur Davids 

gepubliceerd op

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

Microsoft-teams exploiteren

Beveiligingsonderzoeker Oskars Vegeris heeft onthuld een ontwormbare exploit voor Microsoft Teams, die de chatclient zou misbruiken door alleen een bericht te bekijken, zonder enige gebruikersinteractie.

Het resultaat is een "volledig verlies van vertrouwelijkheid en integriteit voor eindgebruikers - toegang tot privéchats, bestanden, intern netwerk, privésleutels en persoonlijke gegevens buiten MS Teams", aldus Vegeris.

Door gebruik te maken van een andere cross-site scripting (XSS)-fout die aanwezig is in de Teams '@mentions'-functionaliteit en een op JavaScript gebaseerde RCE-payload, kan de code ook worden verspreid naar andere gebruikers van de Teams-app, wat zorgt voor een zichzelf verspreidende exploit.

De exploit is ook platformonafhankelijk en beïnvloedt Windows, Mac, Linux en zelfs de web-app.

Gelukkig voor Teams-gebruikers ontdekte Vegeris de fout in augustus en Microsoft bracht niet lang daarna eind oktober 2020 een patch uit.

Vegeris had eerder ook een kritieke "wormbare" fout in de desktopversie van Slack onthuld, waardoor een aanvaller het systeem had kunnen overnemen door simpelweg een kwaadaardig bestand naar een andere Slack-gebruiker te sturen.

via het hackernieuws

Meer over de onderwerpen: exploiteren, Microsoft Teams, veiligheid

Surur Davids

Surur Davids Schild

Smartphone-expert

Surur Davids is de oprichter van WMPoweruser, wat later MSPoweruser.com werd. Hij is een smartphone-expert met meer dan tien jaar ervaring.