Ujawniono poważną lukę w Microsoft Teams, do usunięcia której twórcy systemu wykorzystywanego powszechnie do zdalnej nauki podeszli z zaskakującą nonszalancją.
GitHub szczegółowo opisał i zaprezentował w jaki sposób wykorzystanie pewnych mechanizmów pozwoliło doprowadzić do automatycznego, zdalnego uruchomienia szkodliwego kodu (wystarczyło wyświetlenie spreparowanej wiadomości przez innego użytkownika Microsoft Teams).
https://github.com/oskarsve/ms-teams-rce/blob/main/README.md
Wspomniana luka w jednym z najważniejszych obecnie produktów Microsoftu została zgłoszona już 31 sierpnia bieżącego roku. Krytyczny błąd został jednak wzięty pod uwagę dopiero 30 września, otrzymując jedną z najniższych możliwych ocen ważności. W efekcie luka została załatana dopiero pod koniec października, a w tym czasie Microsoft nie zdecydował się nawet na przypisanie błędowi numeru CVE, co obecnie stosowane jest tylko w przypadku produktów, które nie aktualizują się automatycznie.
Obecnie użytkownicy Microsoft Teams (po automatycznej aktualizacji) są już bezpieczni, ale zdaniem ekspertów krytycznie należy ocenić producenta oprogramowania, który zareagował z opóźnieniem. W dobie pandemii Teams jest przecież jednym z podstawowych narzędzi pracy w wielu domach, a potencjalni atakujący mogli z łatwością zyskać dostęp do komputerów niczego nieświadomych użytkowników.
W pierwszej połowie roku Microsoft Teams zyskał 12 mln nowych użytkowników.
