Microsoft Teams to w dobie pracy zdalnej jedna z częściej wykorzystywanych aplikacji do komunikacji. Siłą rzeczy dla Microsoftu stała się więc jednym z ważniejszych produktów, ale jak się okazuje, podejście do usuwania krytycznych błędów pozostawia wiele do życzenia. W sieci pojawił się opis poważnej luki w Microsoft Teams, do usunięcia której twórcy podeszli z zaskakującym brakiem zaangażowania.
Na problem zwrócił uwagę Tom Warren na Twitterze, który odsyła do obszernej publikacji w serwisie GitHub (w języku angielskim), gdzie Oskars Vegeris opisuje, jak działał problematyczny exploit. Wykorzystanie szeregu mechanizmów pozwoliło doprowadzić do automatycznego, zdalnego uruchomienia szkodliwego kodu, do czego wystarczyło wyświetlenie spreparowanej wiadomości przez innego użytkownika Microsoft Teams.
A security researcher discovered a zero-click remote code execution flaw in Microsoft Teams. The Microsoft response to a serious security problem was incredibly weak for a product used by 115 million people daily https://t.co/77mKZhx2yd pic.twitter.com/Cps9Lz5aAy
— Tom Warren (@tomwarren) December 8, 2020
Co interesujące, luka w Teams została zgłoszona Microsoftowi 31 sierpnia bieżącego roku. Problemy zaczęły się już na starcie, bowiem krytyczny błąd został wzięty pod uwagę dopiero 30 września, otrzymując przy tym w dodatku jedną z najniższych możliwych ocen ważności. Koniec końców luka została załatana dopiero pod koniec października, a po drodze Microsoft nie zdecydował się nawet na przypisanie błędowi numeru CVE, co obecnie stosowane jest tylko w przypadku produktów, które nie aktualizują się automatycznie.
Obecnie użytkownicy Microsoft Teams, których aplikacje są automatycznie aktualizowane są więc bezpieczni, ale nie zmienia to faktu, że Microsoft nie popisał się w opisywanym przypadku zaangażowaniem i szybkością działania. W dobie pandemii Teams jest jednym z podstawowych narzędzi pracy w wielu domach, a przez to potencjalni atakujący mogli z łatwością zyskać dostęp do komputerów niczego nieświadomych użytkowników. W pierwszej połowie roku, na początku pandemii koronawirusa, Microsoft Teams zyskał 12 mln użytkowników zaledwie w tydzień.
Microsoft Teams na Windowsa, macOS-a, Androida i iOS-a jest dostępny do pobrania z naszego katalogu oprogramowania.
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS