Haberler

Microsoft Teams Güvenlik Açığı

Microsoft Teams’in görüntü kaynakları incelendikten sonra, CyberArk’taki güvenlik araştırmacılarının yeni bir raporuna göre, bir Microsoft Teams kullanıcısına gönderilen kötü amaçlı bir GIF ile gönderenin birden fazla işletme hesabının ele geçirilmesi için yeterli olabileceğini açıkladı. Hesapların kontrolünü ele geçirmenin yanı sıra, yakın zamanda keşfedilen güvenlik açığı, saldırganların daha fazla veriye erişmesine izin verebilir.

Güvenlik açığı, Teams kullanıcılarının SharePoint veya Outlook gibi farklı Microsoft hizmetleri arasında görüntü paylaşmasına olanak tanıyan JSON Web Simgesi “authtoken” ve “skype token” üzerinden oluşmaktadır.

Saldırgan bir şekilde bir kullanıcıyı devralınan teams.microsoft.com altında bir alt alan adını (subdomaini) ziyaret etmeye zorlayabilirse, kullanıcının tarayıcısı bu bağlantıyı saldırganın sunucusuna gönderir ve saldırgan (authtoken’i aldıktan sonra) bir skype bağlantısı oluşturabilir. Tüm bunları yaptıktan sonra, saldırgan kullanıcının Teams hesap verilerini çalabilir.

Saldırganlar böylelikle Teams API arayüzleri aracılığıyla mesaj gönderme veya okuma, grup oluşturma, grup üyelerini yönetme ve grup izinlerini değiştirme yetkilerine sahip olabilecekler. Microsoft tarafından yapılan açıklamada söz konusu güvenlik açığının 20 Nisan tarihinde yayınlanan bir güncellemeyle kapatıldığı belirtildi.

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.