在 Microsoft Teams 中發現可蠕蟲漏洞

安全研究員 奧斯卡·韋格里斯透露 Microsoft Teams 的可蠕蟲漏洞利用，它僅通過查看消息來利用聊天客戶端，而無需任何用戶交互。

結果是“最終用戶完全喪失了機密性和完整性——訪問 MS Teams 之外的私人聊天、文件、內部網絡、私鑰和個人數據，”Vegeris 說。

通過利用 Teams '@mentions' 功能中存在的另一個跨站點腳本 (XSS) 漏洞和基於 JavaScript 的 RCE 有效負載，代碼還可以傳播給 Teams 應用程序的其他用戶，從而實現自我傳播漏洞利用。

該漏洞利用也是跨平台的，影響 Windows、Mac、Linux 甚至網絡應用程序。

對於 Teams 用戶來說幸運的是，Vegeris 在 2020 月發現了該漏洞，微軟在 XNUMX 年 XNUMX 月結束後不久發布了補丁。

Vegeris 早些時候還披露了 Slack 桌面版本中的一個嚴重的“可蠕蟲”漏洞，該漏洞可能允許攻擊者通過簡單地將惡意文件發送給另一個 Slack 用戶來接管系統。

通過 黑客新聞