Microsoft Teams tồn tại lỗ hổng zero-day nguy hiểm

22/06/2021 00:00 GMT+7

Lỗ hổng zero-day của Microsoft Teams có thể cho phép kẻ tấn công chiếm quyền kiểm soát tài khoản.

Theo TheWindowsClub, một nhà nghiên cứu bảo mật tại Tenable đã phát hiện ra lỗ hổng bảo mật có thể cho phép kẻ tấn công truy cập vào lịch sử trò chuyện của người dùng trên Microsoft Teams. Lỗ hổng cũng có thể cung cấp cho kẻ tấn công khả năng đọc email, xâm phạm các tệp và tài liệu quan trọng trong bộ lưu trữ OneDrive.
Tính năng mặc định trên Microsoft Teams cho phép người dùng khởi chạy ứng dụng dưới dạng tab trong nhóm mà họ tham gia. Một tính năng tương tự cho phép khách hàng doanh nghiệp có Office 365 hoặc Microsoft Teams có giấy phép Business Basic khởi chạy Microsoft Power Apps trong các tab này. Theo nhà nghiên cứu, một mã được cố định không đúng cách điều chỉnh nội dung được tải vào các tab Microsoft Power Apps về cơ bản đã để lại chỗ cho một lỗ hổng bảo mật bị kẻ tấn công khai thác.
Cụ thể, nội dung tab đến từ một nguồn đáng tin cậy hay không được xác minh bằng cách kiểm tra xem một đường dẫn trang web có được bắt đầu bằng “https://make.powerapps.com” hay không, không có cơ chế xác thực nào khác được thực hiện. Lỗ hổng này khiến kẻ tấn công dễ dàng tạo miền phụ “make.powerapps.com” cho bất kỳ miền nào mà chúng kiểm soát. Từ đó có thể cho phép kẻ tấn công xâm nhập vào tab Power Apps bằng nội dung không đáng tin cậy.
Đây là một lỗ hổng phía máy chủ, Microsoft không yêu cầu người dùng thực hiện bất kỳ thao tác thủ công nào để khắc phục và chờ đợi sửa lỗi từ công ty.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.