Nowy b\u0142\u0105d wykryty w Microsoft Teams pozwala na przeprowadzenie ataku, w kt\u00f3rym odbiorca wiadomo\u015bci nie musi wykonywa\u0107 \u017cadnej akcji \u2013 gro\u017ane jest samo przeczytanie wiadomo\u015bci. Prawdziwym zaskoczeniem jest jednak fakt, \u017ce luka umo\u017cliwiaj\u0105ca zdalne wykonanie kodu nie otrzyma\u0142a CVE. Bior\u0105c pod uwag\u0119, jak wiele firm korzysta z MS Teams, niezwykle wa\u017cne jest, aby organizacje priorytetowo traktowa\u0142y \u0142atanie luk. A brak CVE, \u015ble niejako odwrotn\u0105 wiadomo\u015b\u0107\u2026<\/p>\n\n\n\n\n\n\n\n
Specjalista ds. Bezpiecze\u0144stwa, Oskars Vegeris z Evolution Gaming, ujawni\u0142 szczeg\u00f3\u0142y techniczne dotycz\u0105ce wieloplatformowej luki typu \u201cwormable\u201d w Microsoft Teams. <\/p>\n\n\n\n
B\u0142\u0105d w Microsoft Teams dotyczy cross-site scripting (XSS) na domenie \u201eteam.microsoft.com\u201d. Mo\u017ce zosta\u0107 wykorzystany przez osob\u0119 atakuj\u0105c\u0105 do zdalnego wykonania kodu w aplikacji desktopowej MS Teams.<\/p>\n\n\n\n
Oszu\u015bci mog\u0105 wykorzysta\u0107 t\u0119 luk\u0119, wysy\u0142aj\u0105c specjalnie spreparowan\u0105 wiadomo\u015b\u0107 do dowolnego u\u017cytkownika lub kana\u0142u Microsoft Teams, za pomoc\u0105 kt\u00f3rej wykona dowolny kod na komputerze ofiary BEZ INTERAKCJI U\u017bYTKOWNIKA.<\/p>\n\n\n\n
Zdalne wykonanie kodu jest mo\u017cliwe na wszystkich obs\u0142ugiwanych platformach (Windows, macOS, Linux). Zapewnia atakuj\u0105cym pe\u0142ny dost\u0119p do urz\u0105dze\u0144 ofiar, a za ich po\u015brednictwem, dost\u0119p do sieci wewn\u0119trznej firmy.<\/p>\n\n\n\n
Nawet bez wykonania kodu, atakuj\u0105cy mo\u017ce wykorzysta\u0107 luk\u0119 XSS w celu uzyskania token\u00f3w autoryzacyjnych SSO dla MS Teams lub innych us\u0142ug Microsoft (np. Skype, Outlook, Office 365). Problem mo\u017ce r\u00f3wnie\u017c umo\u017cliwi\u0107 osobom atakuj\u0105cym dost\u0119p do poufnych rozm\u00f3w i plik\u00f3w. <\/p>\n\n\n\n
Badacz zwr\u00f3ci\u0142 uwag\u0119, \u017ce atak dzia\u0142a w ukryciu, wi\u0119c nie wymaga \u017cadnej interakcji u\u017cytkownika i nie daje mu sygna\u0142\u00f3w. Luka typu \u201cwormable\u201d oznacza z kolei, \u017ce robak mo\u017ce automatycznie zosta\u0107 przes\u0142any do innych kana\u0142\u00f3w i firm, r\u00f3wnie\u017c bez interakcji u\u017cytkownika.<\/p>\n\n\n\n
Udane wykorzystanie exploita mo\u017ce spowodowa\u0107 ca\u0142kowit\u0105 utrat\u0119 poufno\u015bci i integralno\u015bci u\u017cytkownik\u00f3w ko\u0144cowych. Atakuj\u0105cy mog\u0105 uzyska\u0107 dost\u0119p do poufnych informacji, prywatnych czat\u00f3w, plik\u00f3w, sieci wewn\u0119trznej, a tak\u017ce kluczy prywatnych i danych osobowych spoza MS Teams<\/p>\n\n\n\n
Niestety gigant IT oceni\u0142 problem jako \u201ewa\u017cny, spoofing\u201d, co jest jedn\u0105 z najni\u017cszych mo\u017cliwych w zakresie ocen. Nie wyda\u0142 jej nawet numeru CVE, poniewa\u017c jak twierdzi, problemy w Microsoft Teams s\u0105 rozwi\u0105zywane przez automatyczne aktualizacje.<\/p>\n\n\n\n
Je\u017celi chcemy, \u017ceby nasze dane w us\u0142ugach SaaS by\u0142y bezpieczne, warto rozwa\u017cy\u0107 backup Office 365<\/a> i ju\u017c dzi\u015b do\u0142\u0105czy\u0107 do beta test\u00f3w Xopero ONE<\/a>. <\/p>\n\n\n\n