Эксперты нашли уязвимости в корпоративном мессенджере Microsoft
Группа по кибербезопасности из Берлина Positive Security нашла уязвимости в корпоративном мессенджере Microsoft Teams, на это обратил внимание «Коммерсантъ».
Эксперты перечислили четыре проблемы, к которым могут привести обнаруженные недостатки:
- SSRF-атака (Server Side Request Forgery, подделка запросов со стороны сервера);
- cпуфинг (spoofing) — атака на основе фальсификации передаваемых данных;
- утечка IP-адресов на Android;
- DoS-атака (Denial of Service), направленная на создание помех или полную остановку работы сайта.
В сообщении экспертов говорится, что они предупредили Microsoft о проблемах еще весной, но компания исправила только одну. Кроме того, Microsoft заплатила аналитикам только 10% от суммы вознаграждения по программе поиска уязвимостей, $5 тыс. вместо $50 тыс.
По словам старшего исследователя угроз информационной безопасности «Лаборатории Касперского» Бориса Ларина, наибольшую опасность представляет уязвимость типа spoofing. Она позволяет прислать вредоносную ссылку, превью которой будет замаскировано под легитимный сайт. Эксперт предупредил, что пользователи могут стать жертвами фишинговой атаки.
В Microsoft заявили газете, что обнаруженные проблемы «не представляют непосредственной угрозы, требующей исправлений в системе безопасности». Компания сообщила, что внесла изменения в политику работы с данными, которые «блокируют воспроизведение некоторых из этих уязвимостей, включая утечку IP-адресов на Android».
По данным компании TrueConf, которые приводит газета, Microsoft Teams в 2020 году был четвертым по популярности мессенджером среди российских корпоративных пользователей и пятым среди средств видеосвязи (сервисами пользовались 6 и 9% пользователей соответственно).
Как сообщил директор по развитию «Информзащиты» Иван Мелехин, в базе данных общеизвестных уязвимостей CVE Details у Microsoft Teams числятся четыре проблемы, а у Zoom — 34, причем 14 из них критичные. Он связывает это с тем, что Teams нацелен на корпоративный рынок, где требования по безопасности выше.
В сентябре Национальный координационный центр по компьютерным инцидентам (создан ФСБ) сообщил об уязвимости «нулевого дня» в операционных системах Windows. По данным экспертов, хакеры используют найденную брешь для атак с применением социальной инженерии. Злоумышленники убеждают пользователей открыть документ Microsoft Office, после чего компьютер атакуют вредоносные программы.
