В Microsoft Teams обнаружили несколько серьезных проблем с безопасностью
Microsoft Teams может иметь несколько серьезных проблем с безопасностью. Фото: Pexels
Уязвимости были найдены исследователями из Positive Security, которые «наткнулись» на них, когда искали способ обойти политику одинакового происхождения (SOP) в Teams и Electron, согласно новому сообщению в блоге. SOP — это механизм безопасности в браузерах, который помогает предотвратить атаки веб-сайтов друг на друга.
Исследователи обнаружили, что они могут обойти СОП в Teams, злоупотребляя функцией предварительного просмотра ссылок в программном обеспечении видеоконференцсвязи Microsoft, позволяя клиенту создавать предварительный просмотр ссылки для целевой страницы, а затем использовать либо текст сводки, либо оптическое распознавание символов (OCR) на изображении предварительного просмотра для извлечения информации.
Однако при этом соучредитель Positive Security Фабиан Бройнлейн обнаружил другие не связанные с этим уязвимости в реализации этой функции.
Из четырех ошибок, обнаруженных Bräunlein в Teams, две могут использоваться на любом устройстве и допускают подделку запросов на стороне сервера (SSRF) и спуфинг, в то время как две другие влияют только на смартфоны Android и могут использоваться для утечки IP-адресов и достижения отказа в обслуживании.
Используя уязвимость SSRF, исследователи смогли получить информацию из локальной сети Microsoft. Между тем ошибка спуфинга может использоваться для повышения эффективности фишинговых атак или для сокрытия вредоносных ссылок .
Ошибка DOS вызывает особое беспокойство, поскольку злоумышленник может отправить пользователю сообщение, которое включает предварительный просмотр ссылки с недопустимой целью ссылки предварительного просмотра (например, «бум» вместо «https: // ...»), чтобы вызвать сбой приложения Teams для Android. К сожалению, приложение продолжит вылетать при попытке открыть чат или канал с вредоносным сообщением.
Компания Positive Security ответственно сообщила Microsoft о своих выводах 10 марта в рамках программы вознаграждения за обнаруженные ошибки . Однако с тех пор софтверный гигант исправил только уязвимость утечки IP-адреса в Teams для Android. Теперь, когда Positive Security публично обнародовала свои выводы, Microsoft, возможно, придется исправить оставшиеся три уязвимости, даже несмотря на то, что она сообщила исследователям, что они не представляют непосредственной угрозы для ее пользователей.
Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.
Статьи по теме
Комментариев пока не было