- უსაფრთხოების მკვლევარები იზიარებენ სიახლეებს Microsoft-ის პოპულარული საკონფერენციო აპლიკაციის შესახებ.
- როგორც ჩანს, გუნდებს ჯერ კიდევ აქვს ოთხი დაუცველობა, რაც თავდამსხმელებს საშუალებას აძლევს შეაღწიონ.
- ორი მათგანის გამოყენება შესაძლებელია სერვერის მხრიდან მოთხოვნის გაყალბების (SSRF) და გაყალბების დასაშვებად.
- დანარჩენი ორი მოქმედებს მხოლოდ Android სმარტფონებზე და მათი გამოყენება შესაძლებელია IP მისამართების გაჟონვის მიზნით.
ჩვენ მხოლოდ მეორე დღეს ვსაუბრობდით გუნდებზე, ვახსენებდით როგორ თქვენ შესაძლოა ვერ შექმნათ ახალი უფასო ორგანიზაციის ანგარიშებიდა Microsoft-ის საუკეთესო საკონფერენციო აპლიკაცია უკვე დაბრუნდა ყურადღების ცენტრში.
და მიუხედავად იმისა, რომ ჩვენ თავს უკეთ ვგრძნობთ, როდესაც გვიწევს შეტყობინებები შესწორებებისა და გაუმჯობესებების შესახებ, ან ახალი ფუნქციების შესახებ, რომლებიც მოვა გუნდებში, ჩვენ ასევე უნდა გაცნობოთ უსაფრთხოების ამ რისკის შესახებ.
როგორც ჩანს, უსაფრთხოების მკვლევარებმა აღმოაჩინეს ოთხი ცალკეული დაუცველობა Teams-ში, რაც შეიძლება იყოს ექსპლუატირებულია ბმულების წინასწარი გადახედვის გაყალბების, IP მისამართების გაჟონვისა და Microsoft-ის შიდა საიტებზე წვდომისთვის მომსახურება.
ოთხი ძირითადი დაუცველობა კვლავ ექსპლუატირებულია ველურ ბუნებაში
პოზიტიური უსაფრთხოების ექსპერტები წააწყდნენ ამ დაუცველობას, როდესაც ეძებდნენ გზებს, რათა გადაეცილებინათ იგივე წარმოშობის პოლიტიკა (SOP) გუნდებში და ელექტრონში, თანახმად. ბლოგის პოსტი.
მხოლოდ იმ შემთხვევაში, თუ თქვენ არ იცნობთ ტერმინს, SOP არის უსაფრთხოების მექანიზმი, რომელიც ნაპოვნია ბრაუზერებში, რომელიც ეხმარება შეაჩეროს ვებსაიტებზე ერთმანეთზე თავდასხმა.
ამ მგრძნობიარე საკითხის გამოკვლევისას, მკვლევარებმა აღმოაჩინეს, რომ მათ შეეძლოთ SOP-ის გვერდის ავლით გვერდის ავლით გუნდებში აპლიკაციის ბმულის გადახედვის ფუნქციის ბოროტად გამოყენებით.
ეს ფაქტობრივად მიღწეული იქნა იმით, რომ კლიენტს საშუალება მისცა შექმნას ბმულის გადახედვა სამიზნე გვერდისთვის და შემდეგ ან შემაჯამებელი ტექსტის ან სიმბოლოების ოპტიკური ამოცნობის (OCR) გამოყენებით გადახედვის სურათზე ამოსაღებად ინფორმაცია.
ასევე, ამის გაკეთებისას, Positive Security-ის თანადამფუძნებელმა Fabian Bräunlein-მა აღმოაჩინა სხვა დაუკავშირებელი ხარვეზები ფუნქციის დანერგვაშიც.
Microsoft Teams-ში ნაპოვნი ოთხი საშინელი შეცდომიდან ორი შეიძლება გამოყენებულ იქნას ნებისმიერ მოწყობილობაზე და იძლევა სერვერის მხრიდან მოთხოვნის გაყალბებას (SSRF) და გაყალბებას.
დანარჩენი ორი გავლენას ახდენს მხოლოდ Android სმარტფონებზე და მათი გამოყენება შესაძლებელია IP მისამართების გაჟონვისა და მომსახურების უარყოფის (DOS) მისაღწევად.
ცხადია, რომ SSRF დაუცველობის გამოყენებით, მკვლევარებმა შეძლეს ინფორმაციის გაჟონვა Microsoft-ის ლოკალური ქსელიდან.
ამავდროულად, spoofing bug შეიძლება გამოყენებულ იქნას ფიშინგის შეტევების ეფექტურობის გასაუმჯობესებლად ან მავნე ბმულების დასამალად.
მათგან ყველაზე შემაშფოთებელი აუცილებლად უნდა იყოს DOS-ის შეცდომა, რადგან თავდამსხმელს შეუძლია მომხმარებლისთვის გაგზავნა შეტყობინება, რომელიც მოიცავს ბმულის გადახედვას არასწორი გადახედვის ბმულის სამიზნით, რისთვისაც ავარიული იქნება გუნდები Android.
სამწუხაროდ, აპი გააგრძელებს ავარიას, როდესაც ცდილობთ ჩეთის ან არხის გახსნას მავნე შეტყობინებებით.
პოზიტიურმა უსაფრთხოებამ ფაქტობრივად აცნობა მაიკროსოფტს თავისი აღმოჩენების შესახებ 10 მარტს თავისი bug bounty პროგრამის მეშვეობით. მას შემდეგ, ტექნიკურმა გიგანტმა მხოლოდ გაასწორა IP მისამართის გაჟონვის დაუცველობა Teams for Android-ში.
მაგრამ ახლა, როდესაც ეს შემაშფოთებელი ინფორმაცია საჯაროა და ამ დაუცველობის შედეგები საკმაოდ ნათელია, Microsoft-ს მოუწევს გააძლიეროს თავისი თამაში და მოიფიქროს რამდენიმე სწრაფი, ეფექტური გამოსწორება.
გქონიათ თუ არა რაიმე უსაფრთხოების პრობლემა Teams-ის გამოყენებისას? გაგვიზიარეთ თქვენი გამოცდილება ჩვენთან კომენტარების განყოფილებაში ქვემოთ.
