Khai thác Wormable được tìm thấy trong Microsoft Teams

Nhà nghiên cứu bảo mật Oskars Vegeris đã tiết lộ một khai thác có thể sâu cho Microsoft Teams, sẽ khai thác ứng dụng trò chuyện bằng cách chỉ xem một tin nhắn mà không có bất kỳ tương tác nào của người dùng.

Kết quả là “mất hoàn toàn tính bảo mật và tính toàn vẹn cho người dùng cuối - quyền truy cập vào các cuộc trò chuyện riêng tư, tệp, mạng nội bộ, khóa cá nhân và dữ liệu cá nhân bên ngoài MS Teams,” Vegeris nói.

Bằng cách khai thác một lỗ hổng khác của tập lệnh trang web (XSS) có trong chức năng '@mentions' của Nhóm và trọng tải RCE dựa trên JavaScript, mã cũng có thể được phát tán cho những người dùng khác của ứng dụng Nhóm, tạo ra một vụ khai thác tự phát tán.

Việc khai thác cũng diễn ra trên nhiều nền tảng, ảnh hưởng đến Windows, Mac, Linux và thậm chí cả ứng dụng web.

May mắn thay cho người dùng Teams, Vegeris đã phát hiện ra lỗ hổng này vào tháng 2020 và Microsoft đã phát hành bản vá lỗi không lâu sau đó vào cuối tháng XNUMX năm XNUMX.

Vegeris trước đó cũng đã tiết lộ một lỗ hổng “có thể đào sâu” nghiêm trọng trong phiên bản máy tính để bàn của Slack có thể cho phép kẻ tấn công chiếm đoạt hệ thống chỉ bằng cách gửi một tệp độc hại cho một người dùng Slack khác.

thông qua Thehackernews