Wormable utnyttelse funnet i Microsoft Teams
1 min. lese
Publisert på
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Sikkerhetsforsker Det har Oskars Vegeris avslørt en ormelig utnyttelse for Microsoft Teams, som ville utnytte chat-klienten ved kun å se en melding, uten brukerinteraksjon.
Resultatet er et "fullstendig tap av konfidensialitet og integritet for sluttbrukere - tilgang til private chatter, filer, internt nettverk, private nøkler og personlige data utenfor MS Teams," sa Vegeris.
Ved å utnytte en annen cross-site scripting (XSS)-feil som finnes i Teams '@mentions'-funksjonalitet og en JavaScript-basert RCE-nyttelast, kan koden også spres til andre brukere av Teams-appen, noe som gir en selvspredende utnyttelse.
Utnyttelsen er også på tvers av plattformer, og påvirker Windows, Mac, Linux og til og med nettappen.
Heldigvis for Teams-brukere oppdaget Vegeris feilen i august, og Microsoft ga ut en oppdatering ikke lenge etter i slutten av oktober 2020.
Vegeris hadde også tidligere avslørt en kritisk "wormable" feil i Slacks skrivebordsversjon som kunne ha tillatt en angriper å overta systemet ved ganske enkelt å sende en ondsinnet fil til en annen Slack-bruker.