Wormable exploit znaleziony w Microsoft Teams

Ikona czasu czytania 1 minuta. czytać

Ikona kalendarza Opublikowany 8 grudnia 2020 r.

opublikowane w dniu 8 grudnia 2020 r.

Czytelnicy pomagają wspierać MSpoweruser. Możemy otrzymać prowizję, jeśli dokonasz zakupu za pośrednictwem naszych linków.

Badacz bezpieczeństwa Oskars Vegeris ujawnił robakowalny exploit dla Microsoft Teams, który wykorzystywał klienta czatu, tylko wyświetlając wiadomość, bez żadnej interakcji z użytkownikiem.

Rezultatem jest „całkowita utrata poufności i integralności użytkowników końcowych — dostępu do prywatnych czatów, plików, sieci wewnętrznej, kluczy prywatnych i danych osobowych poza MS Teams” — powiedział Vegeris.

Wykorzystując inną lukę cross-site scripting (XSS) obecną w funkcji „@mentions” usługi Teams oraz ładunek RCE oparty na języku JavaScript, kod może być również rozprzestrzeniany na innych użytkowników aplikacji Teams, tworząc w ten sposób exploit samorozprzestrzeniający się.

Exploit jest również wieloplatformowy, wpływając na systemy Windows, Mac, Linux, a nawet aplikację internetową.

Na szczęście dla użytkowników Teams Vegeris odkrył usterkę w sierpniu, a Microsoft opublikował łatkę niedługo później, pod koniec października 2020 r.

Vegeris ujawnił również wcześniej krytyczną „robakowatą” lukę w desktopowej wersji Slacka, która mogła pozwolić atakującemu na przejęcie systemu przez wysłanie złośliwego pliku do innego użytkownika Slacka.

przez Wiadomości hakerskie

Więcej na tematy: wykorzystać, Zespoły Microsoft, bezpieczeństwo

Surura Davidsa

Ekspert od smartfonów

Surur Davids jest założycielem WMPoweruser, który później stał się MSPoweruser.com. Jest ekspertem w dziedzinie smartfonów z ponad dziesięcioletnim doświadczeniem.