В мессенджере Microsoft Teams нашли опасные уязвимости

Исследователи выявили в корпоративном мессенджере Microsoft Teams четыре уязвимости, которые могут грозить фишинговыми атаками и подменой IP-адресов. Эксперты заявили, что доложили об этом Microsoft еще в марте, однако с тех пор компания устранила только одну "дыру".

В Microsoft Teams, популярном инструменте для коммуникации между бизнес-пользователями, обнаружили четыре критические уязвимости. По словам экспертов из киберзащитной компании Positive Security, найденные ими в корпоративном мессенджере "дыры" могут грозить фишинговыми атаками, размещением вредоносных ссылок и утечкой IP-адресов на Android.

Эксплуатируя уязвимости, злоумышленники в том числе могут проводить SSRF- и спуфинг-атаки, подделывая передаваемые данные. Например, у жертвы, кликнувшей по сфальсифицированной ссылке, может открыться окно предварительного просмотра с совершенно другим содержимым.

В Positive Security заявили, что уведомили Microsoft о находке еще в марте, однако с тех пор компания-разработчик устранила только одну уязвимость в своем мессенджере. По словам специалистов, в Microsoft неверно расценили масштаб угрозы и сначала полностью отклонили эту проблему, однако после подачи апелляции классифицировали ее как "критическую".

Кроме того, им выплатили всего 10% от суммы, которой Microsoft награждает за поиск уязвимостей в своих продуктах, — $5 тысяч вместо положенных $50 тысяч.

В Microsoft на это ответили, что изучили все четыре "дыры", о которых доложили эксперты Positive Security, и заявили, что эти уязвимости "не представляют непосредственной угрозы".

"Компания получала подобные сообщения в прошлом и недавно внесла ряд улучшений для работы с данными и безопасности в целом. Сделанные изменения блокируют воспроизведение некоторых из этих уязвимостей, включая утечку IP-адресов на Android", — сообщили "Коммерсанту" в пресс-службе Microsoft.