Grupa badaczy odkryła w motywach poważną lukę w zabezpieczeniach, która pozwoliłaby na uzyskanie prywatnych danych użytkownika
a naruszenie bezpieczeństwa w Zespoły Microsoft Pozwoliłby napastnikom… Dostęp do prywatnych danych użytkownika i uzyskania poufnych informacji, w tym Uwierzytelnienie loginu.
Potwierdzili to eksperci ds. cyberbezpieczeństwa z Vectraodpowiedzialny za wykrywanie luk po analizie Aplikacja komputerowa Microsoft Teams Dostępne w systemach operacyjnych Windows, macOS i Linux.
Na wszystkich trzech platformach aplikacja Microsoft Teams, oparta na technologii Electron, okazała się być aplikacją Przechowuje tokeny dostępu w postaci zwykłego tekstuco pozwoliłoby napastnikowi mówi się o symbolice Aby uzyskać dostęp do kont ofiar, a tym samym wykraść poufne informacje.
Microsoft zdaje sobie sprawę z problemu, ale jeszcze go nie naprawił
W ostatnich latach, Elektron Został skrytykowany przez część użytkowników i deweloperów, ponieważ pomimo oferowania zestawu narzędzi, które znacznie ułatwiają tworzenie i dystrybucję aplikacji wieloplatformowych, brakuje jej w niektórych jego wersjach zaawansowane systemy ochrony Takie jak szyfrowanie lub ograniczanie dostępu do chronionych plików.
Według badaczy, od wersji desktopowej Microsoft Teams, opartej na Electronie, Przechowuje tokeny dostępu w postaci zwykłego tekstuAtakujący, zdalnie lub lokalnie, może: Uzyskaj dane uwierzytelniające dowolnego użytkownika podłączonego do Internetua nawet dostęp do aplikacji powiązanych z zespołami.
Co więcej, jest to szczególnie niepokojące Atak nie wymaga specjalnych uprawnieńco może przełożyć się na bardzo poważny problem dla tych firm, które wykorzystują Microsoft Teams jako narzędzie do komunikacji korporacyjnej:
To nas naprawdę przeraża w tym ataku. Atak ten nie wymaga specjalnych uprawnień ani zaawansowanego złośliwego oprogramowania, aby uniknąć poważnych uszkodzeń wewnętrznych. W przypadku złamania wystarczającej liczby urządzeń napastnicy mogą organizować komunikację w przedsiębiorstwie. Przejmując pełną kontrolę nad wrażliwymi stanowiskami — takimi jak główny inżynier, dyrektor generalny lub dyrektor finansowy firmy — osoby atakujące mogą przekonać użytkowników do wykonywania zadań szkodliwych dla organizacji.
Dzisiaj Microsoft Już powiadomiono O luce, ale według VectraFirma nie bierze pod uwagę tego błędu poważne zagrożeniePostanowił więc zamknąć sprawę.
Z tego powodu eksperci sugerują: Przestań używać komputerowej wersji Microsoft Teams I dalej używaj pliku Wersja internetowa serwisuprzynajmniej do czasu wydania aktualizacji usuwającej usterkę,
„Skłonny do napadów apatii. Introwertyk. Wielokrotnie nagradzany ewangelista internetowy. Ekspert od ekstremalnego piwa”.
More Stories
Redukcja szumów, 26 godzin pracy na baterii i bezstratny dźwięk za mniej niż 50 euro
Organizacja SEP opublikowała klip wideo w niewłaściwy sposób przedstawiający zaćmienie
Według eXputer będzie to przeprojektowanie konsoli