Эксперты нашли уязвимости в корпоративном мессенджере Microsoft
Группа по кибербезопасности из Берлина Positive Security нашла уязвимости в корпоративном мессенджере Microsoft Teams, на это обратил внимание «Коммерсантъ».
Эксперты перечислили четыре проблемы, к которым могут привести обнаруженные недостатки:
- SSRF-атака (Server Side Request Forgery, подделка запросов со стороны сервера);
- cпуфинг (spoofing) — атака на основе фальсификации передаваемых данных;
- утечка IP-адресов на Android;
- DoS-атака (Denial of Service), направленная на создание помех или полную остановку работы сайта.
В сообщении экспертов говорится, что они предупредили Microsoft о проблемах еще весной, но компания исправила только одну. Кроме того, Microsoft заплатила аналитикам только 10% от суммы вознаграждения по программе поиска уязвимостей, $5 тыс. вместо $50 тыс.
По словам старшего исследователя угроз информационной безопасности «Лаборатории Касперского» Бориса Ларина, наибольшую опасность представляет уязвимость типа spoofing. Она позволяет прислать вредоносную ссылку, превью которой будет замаскировано под легитимный сайт. Эксперт предупредил, что пользователи могут стать жертвами фишинговой атаки.
В Microsoft заявили газете, что обнаруженные проблемы «не представляют непосредственной угрозы, требующей исправлений в системе безопасности». Компания сообщила, что внесла изменения в политику работы с данными, которые «блокируют воспроизведение некоторых из этих уязвимостей, включая утечку IP-адресов на Android».
По данным компании TrueConf, которые приводит газета, Microsoft Teams в 2020 году был четвертым по популярности мессенджером среди российских корпоративных пользователей и пятым среди средств видеосвязи (сервисами пользовались 6 и 9% пользователей соответственно).
Как сообщил директор по развитию «Информзащиты» Иван Мелехин, в базе данных общеизвестных уязвимостей CVE Details у Microsoft Teams числятся четыре проблемы, а у Zoom — 34, причем 14 из них критичные. Он связывает это с тем, что Teams нацелен на корпоративный рынок, где требования по безопасности выше.
В сентябре Национальный координационный центр по компьютерным инцидентам (создан ФСБ) сообщил об уязвимости «нулевого дня» в операционных системах Windows. По данным экспертов, хакеры используют найденную брешь для атак с применением социальной инженерии. Злоумышленники убеждают пользователей открыть документ Microsoft Office, после чего компьютер атакуют вредоносные программы.
Попробуйте новую функцию «ГигаЧат» — общаться голосом
Какое вино подать к ужину, если не знаешь предпочтения гостей
Как приготовить говядину в вине по-бургундски
Чем занять детей, пока взрослые общаются за столом
Как легко завести разговор в компании, где все только что познакомились
О чём надо позаботиться, если собираешься позвать много гостей
Из каких сыров и ветчин собрать тарелку закусок к вину
Что делать, если пролил красное вино на белую скатерть
Какие есть правила классической сервировки стола
Какие игры можно предложить для взрослой компании дома
Как легко запомнить имена людей, которых тебе представили
