- Сравнение
- Учебники
- Microsoft Teams, возможно, преуменьшили серьезность проблемы безопасности
Microsoft обвинили в преуменьшении серьезности проблемы безопасности, обнаруженной в ее платформе для совместной работы Teams, которая была незаметно решена в октябре.
Согласно отчету инженера по безопасности Оскарса Вегериса, компания не предупреждала пользователей о проблеме, а также не добивалась классификации Common Vulnerabilities and Exposures (CVE), утверждая, что патчи Teams устанавливаются автоматически. .
Примерно через месяц после раскрытия Microsoft оценила уязвимость межсайтового скриптинга (XSS) как «Важную, спуфинг», которую Вегерис описывает как «одну из самых низких возможных оценок».
Однако масштаб потенциальных атак и возможность доступа к различным областям зараженной сети означают, что для этого требуется гораздо более высокий рейтинг угрозы, говорит Вегерис.
Уязвимость Microsoft Teams
По мнению исследователя, эта конкретная уязвимость Microsoft Teams может открыть дверь для «бесконтактного, вредоносного, межплатформенного удаленного выполнения кода».
Вкратце для обывателя это означает, что атака не основана на ошибке со стороны жертвы (например, при нажатии на опасную ссылку), заражение может передаваться с одного компьютера на другой, а эксплойт позволяет хакеру по своему желанию злонамеренно выполнять код на зараженных машинах.
Как описывает Вегерис, злоумышленник может отправить или изменить сообщение, которое выглядит идентичным другому. При открытии соответствующего журнала чата на компьютере жертвы запускается код.
"Все. Никакого взаимодействия со стороны жертвы больше нет. Теперь внутренняя сеть компании, личные документы, документы/электронные письма/заметки O365, секретные чаты полностью скомпрометированы", - написал Вегерис.
«Подумайте об этом. Одно сообщение, один канал, никакого взаимодействия. Эксплуатируются все».
Согласно отчету, эксплойт также позволил злоумышленникам украсть токены единого входа Office 365 (предоставив им доступ к журналам корпоративной электронной почты, документам и т. д.), повысить свои административные привилегии и получить доступ. на камеры и микрофоны зараженных устройств.
Кроме того, если организация пригласила приглашенных лиц в свою сеть Teams (часто клиентов или клиентов), теоретически инфекция также может перейти от одной компании к другой.
«По крайней мере, теперь у нас среди коллег появилась новая шутка: каждый раз, когда у нас возникает ошибка удаленного выполнения кода, мы называем это «Важно, спуфинг». Спасибо Microsoft», — пошутил Вегерис.
Microsoft не сразу ответила на наш запрос о комментариях.
Через регистрацию