კიბერუსაფრთხოების კომპანია Vectra-ს ანალიტიკოსების აზრით, Microsoft Teams-ში არის უზარმაზარი დაუცველობა და უთვალავი მომხმარებელი შეიძლება დაზარალდეს, თუ ჰაკერები მათ ხელში მოხვდებიან.
პროგრამას აქვს ხარვეზი, რომელიც საშუალებას აძლევს თავდამსხმელებს მოიპარონ მომხმარებლების შესვლის სერთიფიკატები და შევიდნენ მათ ანგარიშებში. სამწუხაროდ, მაიკროსოფტი არ გეგმავს ამის დაყენებას ახლა, ასე რომ წაიკითხეთ, რათა დარწმუნდეთ, რომ დაცული იქნებით ამ მოულოდნელობისაგან Microsoft Teams-ის პრობლემა.
ეს ხარვეზი, რომელიც პირველად 2022 წლის აგვისტოში აღმოაჩინეს, საკმაოდ მძიმეა, მაგრამ არც ისე ადვილი შესასრულებელი. ეს ეხება დესკტოპის ვერსიებს Microsoft-ის გუნდები პროგრამული უზრუნველყოფა (ასე რომ არა ბრაუზერის ვერსია) და გავლენას ახდენს მომხმარებლებზე Windows, Linux და Mac.
დაკავშირებული
- Microsoft Teams-ის ყველაზე გავრცელებული პრობლემები და მათი გამოსწორების გზები
- Microsoft Teams იღებს ახალ AI ინსტრუმენტებს – და ისინი უფასოა
- ჩინელი ჰაკერები მიზნად ისახავს აშშ-ს კრიტიკულ ინფრასტრუქტურას, გვაფრთხილებს Microsoft
ეს ყველაფერი დამოკიდებულია იმაზე, თუ როგორ ინახავს Teams მომხმარებლის ავთენტიფიკაციის ნიშნები - მკაფიო ტექსტში, ყოველგვარი დამატებითი დაცვის გარეშე. ეს დამღუპველი იქნებოდა, თუ იგი არ დაეყრდნობოდა ერთ ძირითად ფაქტორს: თავდამსხმელს უნდა ჰქონდეს ადგილობრივი წვდომა სისტემაზე, სადაც დაინსტალირებულია Microsoft Teams.
რეკომენდებული ვიდეოები
თუ ვივარაუდებთ, რომ თავდამსხმელს აქვს ლოკალური წვდომა ქსელში, მათ შეუძლიათ მოიპარონ ავთენტიფიკაციის ნიშნები და შევიდნენ მსხვერპლის ანგარიშში.
Connor Peoples, მკვლევარი Vectra-დან, თქვა, რომ საფრთხე უფრო ღრმაა, ვიდრე მხოლოდ ერთი ანგარიშის კომპრომეტირება; ის საშუალებას აძლევს თავდამსხმელს გაიტაცეს ის ანგარიშები, რომლებმაც შეიძლება შეაფერხოს მთელი ორგანიზაციის ოპერაციები.
”კრიტიკულ ადგილებზე კონტროლის აღება, როგორიცაა კომპანიის ინჟინერიის ხელმძღვანელი, აღმასრულებელი დირექტორი ან ფინანსური დირექტორი, თავდამსხმელებს შეუძლიათ დაარწმუნონ მომხმარებლები, შეასრულონ ორგანიზაციისთვის საზიანო ამოცანები”, - თქვა Peoples-ში. ანგარიში.
როგორ მუშაობს ეს ყველაფერი? ბლეპინგ კომპიუტერი ეს უფრო დეტალურად განმარტა, მაგრამ მოკლე ამბავი ის არის, რომ Microsoft Teams არის Electron აპლიკაცია და გააჩნია ყველა ელემენტი, რომელიც საჭიროა ნებისმიერი ჩვეულებრივი ვებგვერდისთვის, როგორიცაა ქუქიები და სესიების სტრიქონები. ელექტრონს არ უჭერს მხარს ფაილის დაშიფვრას ან დაცული მდებარეობების დადგენას, რის გამოც მომხმარებლის სერთიფიკატები არ არის დაცული ისე, როგორც უნდა იყოს.
კვლევის დროს Vectra-მ იპოვა ფაილი, რომელსაც აქვს წვდომა მომხმარებლის ტოკენებზე მკაფიო ტექსტში. ”განხილვისას დადგინდა, რომ ეს წვდომის ნიშნები იყო აქტიური და არა წინა შეცდომის შემთხვევითი ნაგავსაყრელი. ამ წვდომის ტოკენებმა მოგვცეს წვდომა Outlook-ისა და Skype API-ებზე“, - ნათქვამია კომპანიის ანგარიშში.
კიდევ უფრო მეტი მონაცემი იქნა ნაპოვნი შემდგომი კვლევის შედეგად, მათ შორის მოქმედი ავთენტიფიკაციის ნიშნები და ანგარიშის ინფორმაცია. Vectra-მ ასევე იპოვა აპის ექსპლუატაციის გზა და შეძლო ტოკენების მიღება საკუთარ ჩატის ფანჯარაში.
შემაშფოთებელია, რომ ეს დაუცველობა ამჟამად არსებობს, მაგრამ მაიკროსოფტი არ მიიჩნევს მას საკმარისად დიდ საფრთხედ, რათა პრიორიტეტულად იმუშაოს მის შესწორებაზე. Microsoft-ის სპიკერმა განუცხადა Bleeping Computer-ს: ”აღწერილი ტექნიკა არ შეესაბამება ჩვენს ბარიერს დაუყოვნებლივი სერვისისთვის, რადგან ის მოითხოვს თავდამსხმელს, რომ ჯერ მოიპოვოს წვდომა სამიზნე ქსელში. ჩვენ ვაფასებთ Vectra Protect-ის პარტნიორობას ამ საკითხის იდენტიფიცირებასა და პასუხისმგებლობით გამჟღავნებაში და განვიხილავთ მის მოგვარებას პროდუქტის მომავალ გამოშვებაში.”
იმავდროულად, თუ გაწუხებთ თქვენი გუნდის ანგარიშის უსაფრთხოება, კარგი იდეაა, დესკტოპის კლიენტის ნაცვლად გადახვიდეთ Teams-ის ბრაუზერის ვერსიაზე. თუმცა, Linux-ის მომხმარებლებს ურჩევენ უბრალოდ გადაერთონ სხვა აპლიკაციაზე – განსაკუთრებით იმიტომ, რომ Microsoft გეგმავს შეწყვიტოს Linux-ის ვერსიის მხარდაჭერა ამ წლის ბოლომდე.
რედაქტორების რეკომენდაციები
- როგორ შეუძლია თქვენს უფროსს თქვენი თვალთვალის Slack-ის, Zoom-ისა და Teams-ის მეშვეობით
- როგორ წაშალოთ გვერდი Word-ში
- ამ კრიტიკულმა ექსპლოიატმა შეიძლება ჰაკერებს საშუალება მისცეს გვერდი აუარონ თქვენი Mac-ის დაცვას
- ახლა შეგიძლიათ სცადოთ ავატარები და ვირტუალური სივრცეები Microsoft Teams-ში
- Microsoft Build 2023: ყველაზე დიდი განცხადებები AI-ში, Windows-ში და სხვა
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.
