Осторожно, спуфинг!

Осторожно, спуфинг!
7699d7bfc2aeee255a774e8ae7e04905.jpg

Исследователь Оскар Вегерис (Oskars Vegeris) опубликовал данные об уязвимости в коде Microsoft, которая уже стала мемом в кругах ИБ. Дело в том, что уязвимость удаленного выполнения кода (Remote Code Execution), со свойствами червя, компания Microsoft наделила самым простым рейтингом «Важно, Спуфинг» и не запустила даже механизм присвоения CVE номера.
Хронология событий:
  • 31 августа исследователь сообщил компании Microsoft об уязвимости удаленного выполнения кода (Remote Code Execution), обладающей свойством червя.
  • 30 сентября уязвимость отрапортована компанией Microsoft с комментарием «Important, Spoofing». Это является самым низким рейтингом уязвимости ИБ.
  • Оскар с коллегами ведет переписку с Microsoft с уточнениями о воздействии уязвимости на систему, но компания отказывается вести диалог по поводу уязвимости, и 19 ноября решение о рейтинге «Important, Spoofing» финализируется.
  • 30 ноября принимается решение не присваивать CVE номер в соответствии с политикой компании для автоматически обновляемых уязвимостей с низкой оценкой опасности.
  • С октября существует программная коррекция для уязвимости.
Уязвимость касается десктопного приложения Microsoft Teams, является кросс-платформенной, выполняется любыми пользователями, в том числе гостевыми, не требует от пользователя взаимодействия (подтверждений, нажатий и т. п.) и червеобразно реплицируемая.
Подверженные ей версии ПО:
  • Microsoft Teams (teams.microsoft.com) – Cross-Site Scripting
  • Microsoft Teams macOS v 1.3.00.23764 (latest as of 2020-08-31)
  • Microsoft Teams Windows v 1.3.00.21759 (latest as of 2020-08-31)
  • Microsoft Teams Linux v 1.3.00.16851 (latest as of 2020-08-31)
Для реальной эксплуатации уязвимости атакующему достаточно направить сообщение жертве (HTTP POST), которое будет выглядеть легитимным, а жертве – его прочитать. После этого внутренняя сеть, документы всех сервисов MS, Office365, секретные чаты – все может оказаться скомпрометированным. А пересылка сообщения между пользователями даст цепную реакцию компрометации.
Надеемся, что такой прецедент будет единственным в своем роде и останется только шуточная «мода» называть все RCE уязвимости, как «Important, Spoofing».
Эксперты Angara Professional Assistance рекомендуют обратить пристальное внимание к данной ошибке в коде:
  • Если вы используете указанные версии ПО Microsoft Teams, необходимо срочно их обновить до последних версий.
  • Отслеживать нелегитимные подключения в чат и не пересылать неизвестные спам-сообщения в корпоративные чаты.
Alt text

История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group