Уразливість “0-click” у десктопній та веб-версії програми для проведення відеоконференції Microsoft Teams дозволяє виконати код віддалено.
Для експлуатації хакеру досить відправити жертві спеціально сформоване повідомлення в чат. Про проблему безпеки Microsoft повідомив фахівець компанії Evolution Gaming Оскарс Вегеріс, відправивши звіт ще 31 серпня 2020 року, повідомляє The Hacker News.
Наприкінці жовтня корпорація з Редмонда випустила патч.
“Експлуатація бага не вимагає взаємодії з користувачем, на якого здійснюється атака. Сам експлойт спрацьовує в той момент, коли жертва переглядає шкідливе повідомлення в чаті”, – описує вразливість Вегеріс.
У результаті успішної атаки зловмисник може отримати доступ до особистих бесід, файлів, внутрішньої мережі, приватних ключів і персональних даних.
Найгірше, що уразливість за фактом є крос-платформенною, вона зачіпає додатки для Windows (v1.3.00.21759), Linux (v1.3.00.16851) і macOS (v1.3.00.23764), а також веб-версію – teams.microsoft.com.
Окрім того, баг діє як “черв’як”: експлойт можна передати від одного екаунта усій групі користувачів. Іншими словами, у хакера є можливість скомпрометувати безліч каналів.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ
Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ
Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС
Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ
Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ
До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.
Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.
Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.
У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.
П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.
