Фото Microsoft
Microsoft обвиняют в преуменьшении серьезности проблемы с безопасностью Teams, незаметно устраненной еще в октябре.
Злоумышленники могли получить доступ к внутренней сети компании, личным данным пользователей, секретным чатам, документам, почте и заметкам Office 365 при помощи одного отправленного сообщения. При этом жертве достаточно было просто просмотреть его, предпринимать никаких действий не требовалось. Сообщение за счет гостевых подключений легко можно было распространить за пределы одной организации.
Вендор не классифицировал обнаруженную угрозу по базе CVE (Common Vulnerabilities and Exposures) и не предупредил пользователей под тем предлогом, что критические исправления Teams устанавливаются автоматически. Перевод отчета на русский есть на Хабре
Демонстрация бага из отчета на Хабре
Подписывайтесь на наш Дзен или Телеграм (@vcs_su), выбираем для вас все самое интересное из мира видеосвязи и коммуникаций!
