Исследователи из компании Positive Security, работающей в сфере информационной безопасности, обнаружили в популярной платформе для корпоративных коммуникаций Microsoft Teams четыре уязвимости, которые могут использоваться хакерами для проведения фишинговых атак или размещения вредоносных ссылок. Об этом пишет «Коммерсантъ» со ссылкой на данные отчёта исследователей.
Об обнаруженной уязвимости специалисты сообщили в службы Microsoft еще в марте 2021 года, однако в Microsoft закрыли только одну брешь. Позже специалисты Microsoft признали уязвимости критическими. Однако исследователи получили только по 5 000 долларов, вместо полагающихся 50 000 долларов.
Основные программные ошибки были обнаружены в приложении для предварительного просмотра ссылок. Специалисты выяснили, что ссылки в предварительном окне просмотра и фактически открываемые могут отличаться. Злоумышленники могут использовать данную уязвимость для подмены ссылок на фишинговые и для просмотра IP-адресов пользователей. При этом в Microsoft так и не стали серьезно относится к данной проблеме.
«Компания получала подобные сообщения в прошлом и недавно внесла ряд улучшений для работы с данными и безопасности в целом. Сделанные изменения блокируют воспроизведение некоторых из этих уязвимостей, включая утечку IP-адресов на Android», — заявили представители технологического гиганта.
