Wormable exploit znaleziony w Microsoft Teams
1 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Badacz bezpieczeństwa Oskars Vegeris ujawnił robakowalny exploit dla Microsoft Teams, który wykorzystywał klienta czatu, tylko wyświetlając wiadomość, bez żadnej interakcji z użytkownikiem.
Rezultatem jest „całkowita utrata poufności i integralności użytkowników końcowych — dostępu do prywatnych czatów, plików, sieci wewnętrznej, kluczy prywatnych i danych osobowych poza MS Teams” — powiedział Vegeris.
Wykorzystując inną lukę cross-site scripting (XSS) obecną w funkcji „@mentions” usługi Teams oraz ładunek RCE oparty na języku JavaScript, kod może być również rozprzestrzeniany na innych użytkowników aplikacji Teams, tworząc w ten sposób exploit samorozprzestrzeniający się.
Exploit jest również wieloplatformowy, wpływając na systemy Windows, Mac, Linux, a nawet aplikację internetową.
Na szczęście dla użytkowników Teams Vegeris odkrył usterkę w sierpniu, a Microsoft opublikował łatkę niedługo później, pod koniec października 2020 r.
Vegeris ujawnił również wcześniej krytyczną „robakowatą” lukę w desktopowej wersji Slacka, która mogła pozwolić atakującemu na przejęcie systemu przez wysłanie złośliwego pliku do innego użytkownika Slacka.
przez Wiadomości hakerskie