Microsoft Teams 允许网络钓鱼漏洞,自3月至今未被修复
51CTO社区编辑加盟指南,欢迎关注!
12月22日bleepingcomputer消息,自今年3月以来,就有报道称 Microsoft Teams 链接预览功能存在一些安全漏洞,但微软却表示不会修复或者推迟这些漏洞的修补计划。
这些安全漏洞由德国 IT 安全咨询公司 Positive Security 联合创始人 Fabian Bräunlein 发现,分别是服务器端请求伪造 (SSRF)漏洞、URL 预览欺骗漏洞、IP 地址泄漏 (Android) 漏洞和被称为死亡消息 (Android) 的拒绝服务 (DoS) 漏洞。
Bräunlein 向 Microsoft 安全响应中心 (MSRC) 报告了四个漏洞,该中心负责调查有关 Microsoft 产品及服务的漏洞报告。
“这些漏洞允许访问微软内部服务,欺骗链接预览,并且,对于Android用户来说,泄露他们的IP地址和破坏他们的Teams应用程序/渠道,”研究人员说。
在这四个漏洞中,微软只解决了IP 地址泄漏 (Android) 漏洞,对于其他漏洞,微软表示他们并未在当前版本中修复 SSRF,而 DoS 也是计划在未来版本中考虑修复。
使用户暴露于网络钓鱼的漏洞未被修补
至于URL预览欺骗漏洞,虽然被标记为不会对 Teams 用户构成任何危险,但威胁者可以利用该漏洞伪装成恶意链接,进行钓鱼攻击。
微软表示:“MSRC 调查了这个问题并得出结论,认为这不会构成直接威胁,不需要紧急关注。因为一旦用户点击 URL,他们将不得不转到那个恶意 URL,这将是一个免费的样品,用户能看到不是其想打开的链接应该不会上当。”
研究人员补充说:“虽然所发现的漏洞影响有限,但令人惊讶的是,如此简单的攻击载体以前似乎没有被测试过,而且微软没有意愿或资源来保护他们的用户免受其害。”
自 7 月以来,Teams 还使用 Defender for Office 365 安全链接保护,来保护用户免受基于 URL 的网络钓鱼攻击,这在一定程度上解释了该公司决定不解决可能在网络钓鱼活动中滥用的欺骗漏洞。
虽然安全链接保护对所有Teams用户都可用,并且适用于跨对话、群组聊天和Teams渠道共享的链接,但它仍然需要通过在Microsoft 365 Defender门户中设置安全链接策略来启用。
参考来源:
https://www.bleepingcomputer.com/news/security/microsoft-teams-bug-allowing-phishing-unpatched-since-march/
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
阿里云都被责令整改了,Log4j2漏洞惹出的乱子何时休?
51CTO社区编辑加盟指南,欢迎关注! WOT全球技术创新大会2022,门票6折抢购中!购票立减2320元!--> 12月22日上午,一则阿里云被暂停其工信部网络安全威胁信息共享平台合作单位身份,为期6个月的消息,在网上疯传。 据工业和信息化部网络安全管理局通报称,阿里云因在发现阿帕奇Log4j2组件重大安全漏洞后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。被暂停其工信部网络安全威胁信息共享平台合作单位身份,为期6个月。 网络安全管理局表示,暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。 自12月9日夜间Log4j 2漏洞发现以来,受到业内外的极大关注,一位网友表示,“以前不关注网络安全领域都对这一漏洞有所了解。” 一位安全专家表示:“从Log4j2漏洞披露以来,基本上震动全民,不管是安全从业者,还是安全爱好者抑或是做黑产、做勒索的黑客,基本上彻夜不眠,行动不断。" 众所周知,Apache Log4j是被全球广泛应用的组件,其漏洞影响范围波及全球堪比“永恒之蓝”漏洞,利用复杂度低,一旦利用成功,可能导致设备远程受控,进而引发敏感信息窃取、设备服...
- 下一篇
美国最新的Hack DHS漏洞赏金计划已包含log4j相关漏洞
51CTO社区编辑加盟指南,欢迎关注! WOT全球技术创新大会2022,门票6折抢购中!购票立减2320元!--> 12月22日,美国国土安全部(DHS)部长亚历杭德罗·N·马约卡斯 (Alejandro N. Mayorkas)发推文表示,为了应对最近发现的 log4j 漏洞,部门正在扩大Hack DHS漏洞赏金计划的范围,包括额外的激励措施,以发现和修补系统中与log4j有关的漏洞。 上周,国土安全部推出了Hack DHS漏洞赏金计划,允许经过审查的网络安全研究人员发现和报告外部 DHS 系统中的漏洞,每个报告的错误可获得高达 5,000 美元的奖励。 这一计划也允许经过审查的黑客参与,他们需要披露所发现的漏洞以及有关漏洞的详细信息、攻击者如何利用它以及如何使用它来访问来自 DHS 系统的信息。 DHS 会在48 小时内验证所有报告的安全漏洞,并在15天或更长时间内修复,这具体取决于漏洞的复杂性。 此次Hack DHS的扩大计划源自上周五由美国网络安全和基础结构安全局(CISA)发出的紧急指令,该指令命令联邦民事行政部门机构在12月23日之前修补被积极利用的Log4Shell漏洞。...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果