Microsoft Teams: Špatné záložky mohly vést k BEC

Útočníci mohli překonat odhalenou bezpečnostní díru v chatovací službě Microsoft Teams, která by jim umožnila vydávat se za zaměstnance cílové společnosti tím, že by četli a posílali e-maily jejich jménem. Útočníci mohli chybu použít k získání oprávnění ke čtení a zápisu pro e-mail uživatele oběti, chaty týmů, OneDrive, Sharepoint a spoustu dalších služeb.

Evan Grant ze společnosti Tenable v příspěvku vysvětlil, že našel chybu v Microsoft Power Apps.

Chyba je jednoduchá, má co do činění s nedostatečným ověřením vstupu. Grant uvedl, že tuto chybu zabezpečení bylo možné využít k zajištění trvalého přístupu ke čtení a zápisu oběti, včetně e-mailu, chatů Teams, OneDrive, Sharepoint a řady dalších služeb.

Takové útoky lze provádět prostřednictvím škodlivé karty Microsoft Teams a toků Power Automate, vysvětlil Grant. Microsoft již chybu opravil.

Více zde: threatpost.com

Zdroj: IT SECURITY NETWORK NEWS

Napsat komentář