Хакер #305. Многошаговые SQL-инъекции
В конце августа 2020 года эксперт Evolution Gaming Оскарс Вегерис (Oskars Vegeris) обнаружил XSS-уязвимость в домене team.microsoft.com, которая могла использоваться для удаленного выполнения кода в десктопном приложении Microsoft Teams.
Для эксплуатации проблемы злоумышленнику нужно лишь отправить специально подготовленное сообщение любому пользователю или каналу в Teams, чтобы запустить эксплоит в фоновом режиме. То есть срабатывания эксплоита пользователь даже не заметит.
«Никакого взаимодействия с пользователем не требуется, эксплоит запускается при просмотре сообщения в чате. Удаленное выполнение произвольного кода возможно в десктопных приложениях на всех поддерживаемых платформах (Windows, macOS, Linux). Выполнение кода дает злоумышленнику полный доступ к устройствам жертвы, а через эти устройства и к внутренним сетям компании», — предупреждает эксперт.
Так, атакующий может использовать данный XSS-баг для получения токенов авторизации SSO для Teams или других сервисов Microsoft, а также для доступа к конфиденциальным разговорам и файлам. Успешная эксплуатация проблемы может предоставить хакеру доступ к закрытым ключам и личным данным за пределами Teams, то есть может привести к утечке внутренней информации.
Хуже того, уязвимость обладает потенциалом червя, то есть позволяет злоумышленнику автоматически отправлять пейлоад эксплоита другим пользователям или каналам, без какого-либо взаимодействия с ними.
Проблема затрагивала Microsoft Teams для macOS версии 1.3.00.23764, для Windows версии 1.3.00.21759 и для Linux версии 1.3.00.16851. В настоящее время уязвимость уже исправлена, хотя ей так и не был присвоен идентификатор CVE. Дело в том, что уязвимости в Microsoft Teams исправляются с помощью автоматических обновлений, без участия пользователя, и CVE таким проблемам не присваивают.