Исследователь Оскар Вегерис (Oskars Vegeris) опубликовал данные об уязвимости в коде Microsoft, которая уже стала мемом в кругах ИБ. Дело в том, что уязвимость удаленного выполнения кода (Remote Code Execution), со свойствами червя, компания Microsoft наделила самым простым рейтингом «Важно, Спуфинг» и не запустила даже механизм присвоения CVE номера.
Хронология событий:
- 31 августа исследователь сообщил компании Microsoft об уязвимости удаленного выполнения кода (Remote Code Execution), обладающей свойством червя.
- 30 сентября уязвимость отрапортована компанией Microsoft с комментарием «Important, Spoofing». Это является самым низким рейтингом уязвимости ИБ.
- Оскар с коллегами ведет переписку с Microsoft с уточнениями о воздействии уязвимости на систему, но компания отказывается вести диалог по поводу уязвимости, и 19 ноября решение о рейтинге «Important, Spoofing» финализируется.
- 30 ноября принимается решение не присваивать CVE номер в соответствии с политикой компании для автоматически обновляемых уязвимостей с низкой оценкой опасности.
- С октября существует программная коррекция для уязвимости.
Уязвимость касается десктопного приложения Microsoft Teams, является кросс-платформенной, выполняется любыми пользователями, в том числе гостевыми, не требует от пользователя взаимодействия (подтверждений, нажатий и т. п.) и червеобразно реплицируемая.
Подверженные ей версии ПО:
- Microsoft Teams (teams.microsoft.com) – Cross-Site Scripting
- Microsoft Teams macOS v 1.3.00.23764 (latest as of 2020-08-31)
- Microsoft Teams Windows v 1.3.00.21759 (latest as of 2020-08-31)
- Microsoft Teams Linux v 1.3.00.16851 (latest as of 2020-08-31)
Для реальной эксплуатации уязвимости атакующему достаточно направить сообщение жертве (HTTP POST), которое будет выглядеть легитимным, а жертве – его прочитать. После этого внутренняя сеть, документы всех сервисов MS, Office365, секретные чаты – все может оказаться скомпрометированным. А пересылка сообщения между пользователями даст цепную реакцию компрометации.
Надеемся, что такой прецедент будет единственным в своем роде и останется только шуточная «мода» называть все RCE уязвимости, как «Important, Spoofing».
Эксперты Angara Professional Assistance рекомендуют обратить пристальное внимание к данной ошибке в коде:
- Если вы используете указанные версии ПО Microsoft Teams, необходимо срочно их обновить до последних версий.
- Отслеживать нелегитимные подключения в чат и не пересылать неизвестные спам-сообщения в корпоративные чаты.
