Ερευνητές σε θέματα ασφάλειας ανακάλυψαν μία ευπάθεια στο Microsoft Teams που θα μπορούσε να επιτρέψει σε hackers να κλέψουν προσωπικά δεδομένα και να παραβιάσουν τους συνδεδεμένους λογαριασμούς, χρησιμοποιώντας κακόβουλες εικόνες GIF.
Σύμφωνα με την έρευνα, η ευπάθεια επιτρέπει στους hackers να κλέψουν τους κωδικούς πρόσβασης του λογαριασμού και να πάρουν τον έλεγχο. Ταυτόχρονα μπορούν να διαμοιραστούν τις κακόβουλες εικόνες και με άλλους χρήστες με απώτερο σκοπό να πάρουν ακόμη και τον έλεγχο του λογαριασμού ολόκληρης της επιχείρησης.
Την ευπάθεια ανακάλυψε η αμερικανική εταιρία ασφάλειας CyberArk. Μία ευπάθεια η οποία επηρεάζει τόσο την εφαρμογή του Teams όσο και την web έκδοση από τον browser. Σύμφωνα με τις πληροφορίες, οι χρήστες για να μολυνθούν, δεν χρειάζεται να αλληλεπιδράσουν με την εικόνα, παρά μόνο να την λάβουν.
Με τα μέχρι τώρα δεδομένα και λόγω της γενικότερης αύξησης που έχει παρατηρηθεί τον τελευταίο καιρό, το Microsoft Teams εξυπηρετεί καθημερινά περίπου 44 εκατομμύρια χρήστες. Αυτή η μεγάλη αύξηση έχει προσελκύσει την προσοχή των scammers που θέλουν να ξεγελάσουν με διάφορους τρόπους τους χρήστες που εργάζονται εξ’ αποστάσεως. Πρόσφατα μάλιστα, είδαμε και την προσπάθεια κάποιων scammers να «μεταμφιέζουν» τα e-mails τους ώστε αυτά να μοιάζουν πως προέρχονται από το τμήμα Ανθρώπινου Δυναμικού.
Η ευπάθεια στο Teams στηρίζεται στον τρόπο που διαχειρίζεται η εφαρμογή τα GIF’s αφού κάθε μολυσμένος χρήστης, μπορεί να μετατραπεί σε κόμβο εξάπλωσης. Η κακόβουλη εικόνα μάλιστα μπορεί επίσης να σταλεί και σε ομαδικά κανάλια με αποτέλεσμα να αυξηθεί απότομα ο ρυθμός μόλυνσης. Όπως αναφέρει η Microsoft, η ευπάθεια διορθώθηκε με σχετική ενημέρωση ενώ δηλώνει πως αυτή δεν χρησιμοποιήθηκε από scammers.
Η Microsoft δήλωσε για το θέμα:
Αντιμετωπίσαμε το ζήτημα και συνεργαστήκαμε επιτυχώς με τον ερευνητή ασφαλείας. Αν και δεν έχουμε δει καμία χρήση αυτής της τεχνικής, έχουμε λάβει τα απαραίτητα μέτρα για να διατηρήσουμε όλους τους πελάτες μας ασφαλείς.
Πηγή: insomnia.gr / Tech Radar
(Κώστας Παπαζαχαρίου, αναδημοσίευση 29/4/2020)
Join the Conversation →