流行工作区应用程序中的安全错误已修补
一个脆弱性研究人员警告说,在微软,团队可以允许恶意演员窃取敏感数据并访问受害者的通讯。
现在已经修补的错误允许攻击者窃取受害者的电子邮件,团队消息和OneDrive文件,以及代表他们发送电子邮件和消息。
它是由Tenable的员工研究工程师Evan Grant发现的,他详细介绍了安全问题博客文章今天(6月15日)发行。
攻击表面
该攻击依赖于Microsoft Power Apps选项卡中的漏洞。微软团队具有默认功能,允许用户在他们所属于的任何团队中启动小应用程序(或小程序)。
博客文章解释说,如果该用户是具有业务基本许可证或更高版本的Office 365/团队组织的一部分,则他们还可以访问由Microsoft Power Apps应用程序组成的一组团队选项卡。
在一个未拨打的团队中,演员可以设置一个恶意标签私人文件和通讯。
“此外,攻击者可以掩饰自己为受害者,并代表他们发送电子邮件和消息,有可能使他们进一步进行社会工程学组织内部的攻击。”格兰特补充说。
“尽管该错误很简单,但攻击本身也相当复杂,需要对Microsoft Power应用程序和电源自动化功能的工作知识。”
限制
但是,格兰特指出,恶意演员必须是微软团队的成员组织他们正在进攻,这意味着它只能在内部威胁攻击的背景下起作用。
有关该错误和概念证明的更多技术细节可以在博客文章中找到。
敦促Microsoft Teams用户更新到该软件的最新版本,以防止漏洞。