Microsoft Teams i wieczna analiza

501

Ujawniono poważną lukę w Microsoft Teams, do usunięcia której twórcy systemu wykorzystywanego powszechnie do zdalnej nauki podeszli z zaskakującą nonszalancją.

GitHub szczegółowo opisał i zaprezentował w jaki sposób wykorzystanie pewnych mechanizmów pozwoliło doprowadzić do automatycznego, zdalnego uruchomienia szkodliwego kodu (wystarczyło wyświetlenie spreparowanej wiadomości przez innego użytkownika Microsoft Teams).

https://github.com/oskarsve/ms-teams-rce/blob/main/README.md

Wspomniana luka w jednym z najważniejszych obecnie produktów Microsoftu została zgłoszona już 31 sierpnia bieżącego roku. Krytyczny błąd został jednak wzięty pod uwagę dopiero 30 września, otrzymując jedną z najniższych możliwych ocen ważności. W efekcie luka została załatana dopiero pod koniec października, a w tym czasie Microsoft nie zdecydował się nawet na przypisanie błędowi numeru CVE, co obecnie stosowane jest tylko w przypadku produktów, które nie aktualizują się automatycznie.

Obecnie użytkownicy Microsoft Teams (po automatycznej aktualizacji) są już bezpieczni, ale zdaniem ekspertów krytycznie należy ocenić producenta oprogramowania, który zareagował z opóźnieniem. W dobie pandemii Teams jest przecież jednym z podstawowych narzędzi pracy w wielu domach, a potencjalni atakujący mogli z łatwością zyskać dostęp do komputerów niczego nieświadomych użytkowników.

W pierwszej połowie roku Microsoft Teams zyskał 12 mln nowych użytkowników.