- Katılım
- 21 Şubat 2021
- Mesajlar
- 432
- Tepkime puanı
- 25
Microsoft Teams’de solucan niteliğinde bir rce güvenlik açığı bulundu. Ağustos 2020’nin sonunda, Evolution Gaming uzmanı Oskars Vegeris, team.microsoft.com etki alanında, Microsoft Teams masaüstü uygulamasında uzaktan kod yürütmek için kullanılabilecek bir XSS güvenlik açığı keşfetti.
Açıktan yararlanmak için, saldırganın arka planda çalıştırması için Teams’deki herhangi bir kullanıcıya veya kanala özel hazırlanmış bir mesaj göndermesi gerekiyor. Yani, kullanıcı kendisine gönderilen solucanın işleyişini bile fark edemiyecektir.
Örneğin, bir saldırgan bu XSS hatasını Teams veya diğer Microsoft hizmetleri için SSO yetkilendirme belirteçleri almak ve ayrıca gizli konuşmalara ve dosyalara erişmek için kullanabilir. Sorunun başarılı bir şekilde kötüye kullanılması, bir bilgisayar korsanının Teams dışındaki özel anahtarlara ve kişisel verilere erişimini sağlayabilir, bu da içeriden bilgi sızdırabileceği anlamına gelir.
Daha da kötüsü, güvenlik açığı bir solucan potansiyeline sahiptir, yani bir saldırganın, kendileriyle herhangi bir etkileşime girmeden diğer kullanıcılara veya kanallara otomatik olarak bir solucan göndermesine izin verir.
Sorun, macOS için Microsoft Teams sürüm 1.3.00.23764, Windows sürüm 1.3.00.21759 ve Linux sürüm 1.3.00.16851’i etkiledi. Güvenlik açığı, hiçbir zaman bir CVE Kimliği atanmamış olmasına rağmen artık düzeltilmiştir. Gerçek şu ki, Microsoft Teams’deki güvenlik açıkları, kullanıcı müdahalesi olmadan otomatik güncellemeler kullanılarak düzeltiliyor ve bu tür sorunlara CVE’ler atanmıyor.
İlgili Haber: Discord Programında Güvenlik Açığı Tespit Edildi!
Microsoft Teams’de solucan niteliğinde bir rce güvenlik açığı bulundu yazısı ilk önce Siber Basın üzerinde ortaya çıktı.
Okumaya devam et...
Microsoft Teams’de solucan niteliğinde bir rce güvenlik açığı bulundu
Açıktan yararlanmak için, saldırganın arka planda çalıştırması için Teams’deki herhangi bir kullanıcıya veya kanala özel hazırlanmış bir mesaj göndermesi gerekiyor. Yani, kullanıcı kendisine gönderilen solucanın işleyişini bile fark edemiyecektir.
Örneğin, bir saldırgan bu XSS hatasını Teams veya diğer Microsoft hizmetleri için SSO yetkilendirme belirteçleri almak ve ayrıca gizli konuşmalara ve dosyalara erişmek için kullanabilir. Sorunun başarılı bir şekilde kötüye kullanılması, bir bilgisayar korsanının Teams dışındaki özel anahtarlara ve kişisel verilere erişimini sağlayabilir, bu da içeriden bilgi sızdırabileceği anlamına gelir.
Daha da kötüsü, güvenlik açığı bir solucan potansiyeline sahiptir, yani bir saldırganın, kendileriyle herhangi bir etkileşime girmeden diğer kullanıcılara veya kanallara otomatik olarak bir solucan göndermesine izin verir.
Sorun, macOS için Microsoft Teams sürüm 1.3.00.23764, Windows sürüm 1.3.00.21759 ve Linux sürüm 1.3.00.16851’i etkiledi. Güvenlik açığı, hiçbir zaman bir CVE Kimliği atanmamış olmasına rağmen artık düzeltilmiştir. Gerçek şu ki, Microsoft Teams’deki güvenlik açıkları, kullanıcı müdahalesi olmadan otomatik güncellemeler kullanılarak düzeltiliyor ve bu tür sorunlara CVE’ler atanmıyor.
İlgili Haber: Discord Programında Güvenlik Açığı Tespit Edildi!
Microsoft Teams’de solucan niteliğinde bir rce güvenlik açığı bulundu yazısı ilk önce Siber Basın üzerinde ortaya çıktı.
Okumaya devam et...