کاروتک

تکنولوژی و علمی

تلویزیون و سینما

تلویزیون کاروتک

محققان امنیتی چهار آسیب‌پذیری جداگانه را Microsoft Teams کشف کرده‌اند که با استفاده از آن‌ها می‌توان خسارات زیادی به بار آورد؛ تا به حال شرکت مایکروسافت قادر به رفع یکی از آن‌ها بوده است.

این اکتشافات توسط محققان Positive Security صورت گرفته؛ زمانی که این کارشناسان در حال آزمایش برای دور زدن (SOP) در Electron و Microsoft Teams بودند، تصادفا به این آسیب‌پذیری‌ها برخوردند. SOP یک مکانیزم امنیتی در مرورگرها است که به جلوگیری از حمله‌ی وب‌سایت‌ها به یکدیگر کمک می‌کند.

در طول این تحقیقات آن‌ها متوجه شدند که ویژگی پیش‌نمایش لینک‌ها در برنامه‌ی کنفرانس ویدیویی مایکروسافت دارای این مشکل است و می‌توان SOP  را در آن دور زد؛ با این حال، فابیان برونلین (Fabian Bräunlein)، یکی از بنیانگذاران Positive Security، آسیب پذیری‌های نامرتبط دیگری را در پیاده‌سازی این ویژگی پیدا کرد و این تنها ایراد این برنامه نبود. این آسیب‌پذیری‌ها افشای آدرس‌های IP، جعل درخواست‌های سمت سرور (SSRF) و DOS را مقدور می‌سازند ؛ اما مهم‌ترین آن‌ها این است که می‌توان با استفاده از تولید یک پیش‌نمایش جعلی لینک (Spoofing link preview) از کاربران سوءاستفاده کرده و اطلاعات آنان را به سرقت برد.

با استفاده از آسیب‌پذیری SSRF، محققان توانستند اطلاعاتی را از شبکه‌ی محلی داخلی مایکروسافت خارج سازند. از طرفی باگ جعل (Spoofing bug)، تأثیر زیادی در حملات فیشینگ گذاشته و با استفاده از آن کلاهبرداران می‌توانند آسان‌تر لینک‌های مخرب خود را پنهان کنند.

اشکال DOS نیز نگران کننده است؛ زیرا یک مهاجم می‌تواند برای کاربر پیامی ارسال کند که شامل یک پیش‌نمایش جعلی بوده و از آن سوءاستفاده کند.

از این چهار باگ یافت شده، دو باگ را می‌توان در هر دستگاهی استفاده کرد؛ درحالی‌که دو باگ دیگر فقط بر تلفن‌های هوشمند اندرویدی تأثیر می‌گذارند.

Positive Security به‌طور مسئولانه یافته‌های خود را در ۱۰ مارس به مایکروسافت اعلام کرد؛ با این حال، از آن زمان، این شرکت تنها آسیب پذیری نشت آدرس IP را در Teams for Android اصلاح کرده است. اکنون که Positive Security یافته‌های خود را به‌طور عمومی فاش کرده، مایکروسافت ممکن است مجبور شود سه آسیب‌پذیری باقی‌مانده را اصلاح کند.