Wormable utnyttelse funnet i Microsoft Teams

Hjemprodukt » Microsoft-lag

Ikon for lesetid 1 min. lese

Kalenderikon Publisert på

by Surur Davids 

publisert på

Del denne artikkelen

Lesere hjelper til med å støtte MSpoweruser. Vi kan få provisjon hvis du kjøper gjennom lenkene våre. Verktøytipsikon

Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer

Microsoft-team utnytter

Sikkerhetsforsker Det har Oskars Vegeris avslørt en ormelig utnyttelse for Microsoft Teams, som ville utnytte chat-klienten ved kun å se en melding, uten brukerinteraksjon.

Resultatet er et "fullstendig tap av konfidensialitet og integritet for sluttbrukere - tilgang til private chatter, filer, internt nettverk, private nøkler og personlige data utenfor MS Teams," sa Vegeris.

Ved å utnytte en annen cross-site scripting (XSS)-feil som finnes i Teams '@mentions'-funksjonalitet og en JavaScript-basert RCE-nyttelast, kan koden også spres til andre brukere av Teams-appen, noe som gir en selvspredende utnyttelse.

Utnyttelsen er også på tvers av plattformer, og påvirker Windows, Mac, Linux og til og med nettappen.

Heldigvis for Teams-brukere oppdaget Vegeris feilen i august, og Microsoft ga ut en oppdatering ikke lenge etter i slutten av oktober 2020.

Vegeris hadde også tidligere avslørt en kritisk "wormable" feil i Slacks skrivebordsversjon som kunne ha tillatt en angriper å overta systemet ved ganske enkelt å sende en ondsinnet fil til en annen Slack-bruker.

av Hackernyhetene

Mer om temaene: utnytte, Microsoft-lag, sikkerhet

Surur Davids

Surur Davids Shield

Smarttelefonekspert

Surur Davids er grunnleggeren av WMPoweruser som senere ble MSPoweruser.com. Han er en smarttelefonekspert med over ti års erfaring.