微软 Teams 零点击可蠕虫漏洞曝光

软餐(ruancan.com)获悉,微软 Teams 上的一个安全漏洞近日被曝光。

安全研究人员 Oskars Vegeris 透露了 Microsoft Teams 的一种可利用可蠕虫、跨平台的 0day 或一次点击可造成 RCE 的漏洞。

Vegeris 说,其结果是 “最终用户完全失去了保密性和完整性——访问微软 Teams 之外的私人聊天、文件、内部网络、私钥和个人数据。”。

通过利用 Teams 的 “ @mentions” 功能中存在的另一个跨站点脚本(XSS)漏洞和基于 JavaScript 的 RCE 有效负载,该代码也可以传播给 Teams 应用程序的其他用户,从而实现自我传播。该漏洞利用也是跨平台的,可影响 Windows,Mac,Linux 甚至 Web 应用程序。

微软Teams零点击可蠕虫漏洞曝光

Vegeris 于今年 8 月发现了该漏洞并向微软报告,微软将其评级为范围内的最低等级 “重要的欺骗性漏洞 “,并在 10 月底发布了补丁。

Vegeris 早些时候还披露了 Slack 桌面版本中的一个严重的 “可蠕虫” 漏洞,该漏洞可能允许攻击者通过简单地将恶意文件发送给另一个 Slack 用户来接管系统,但最终仅获得 1750 美元奖金。

微软Teams零点击可蠕虫漏洞曝光
(0)
tiny的头像tiny

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注