Взлом как по команде

В Microsoft Teams нашли незакрытые уязвимости

Немецкие исследователи кибербезопасности Positive Security обнаружили уязвимости в платформе Microsoft Teams, которая входит в пятерку наиболее популярных у российского бизнеса средств коммуникации. Уязвимости грозят фишинговыми атаками на пользователей или появлением вредоносных ссылок, предупреждают эксперты. При этом, по их оценкам, в Microsoft Teams, нацеленном на корпорации, меньше угроз, чем, например, в более популярном Zoom. Но основная проблема в том, что публичные сервисы в целом не дают гарантий безопасности — радикально решить вопрос можно только созданием собственной закрытой системы видео-конференц-связи.

Фото: Dado Ruvic / Reuters

Фото: Dado Ruvic / Reuters

В популярной платформе для корпоративных коммуникаций Microsoft Teams обнаружены четыре уязвимости. Пост об этом появился 22 декабря в блоге немецких исследователей кибербезопасности Positive Security. Из него следует, что компания уведомила Microsoft о проблемах еще в марте, но международный вендор исправил только одну уязвимость. Две недели назад в той же Positive Security писали, что Microsoft неверно оценила масштаб проблемы и полностью отклонила ее, после апелляции вопрос был классифицирован как «критический», но компания выплатила аналитикам только 10% от суммы вознаграждения по программе поиска уязвимостей — $5 тыс. вместо $50 тыс.

Речь идет об уязвимостях в функции предварительного просмотра ссылок: при щелчке на предварительном просмотре открывается ссылка, отличная от той, что ожидает пользователь.

Это может быть использовано либо для фишинговых атак, либо для скрытия вредоносных ссылок, считают в Positive Security. Кроме того, в компании отмечают, что пользователям Android уязвимости грозят утечкой IP-адресов.

В Microsoft заверили “Ъ”, что изучили все четыре уязвимости и «они не представляют непосредственной угрозы, требующей исправлений в системе безопасности».

«Компания получала подобные сообщения в прошлом и недавно внесла ряд улучшений для работы с данными и безопасности в целом. Сделанные изменения блокируют воспроизведение некоторых из этих уязвимостей, включая утечку IP-адресов на Android»,— уточнил представитель компании.

Microsoft Teams, по оценке TrueConf, в 2020 году занимал четвертое место по популярности среди российских корпоративных пользователей в качестве мессенджера (его использовали около 6% пользователей) после WhatsApp, Telegram и TrueСonf и пятое место по популярности в качестве средства видеосвязи (9% пользователей). Лидируют в этой категории Zoom, TrueСonf, Skype и Skype for business. По данным базы TAdviser за период с 2005 до ноября 2021 года, Microsoft занимает также четвертое место по популярности среди вендоров систем видео-конференц-связи, реализовав на российском рынке 140 проектов. В 2020 году, по оценке Telecom Daily, рынок видео-конференц-связи (ВКС) в России составил 2,5 млрд руб.

Максут Шадаев, глава Минцифры, в интервью TAdviser 10 сентября:
«Нам в любой момент могут заблокировать использование каких-то технологий, и все наше здание, вся конструкция, которую мы строим, может поплыть».


Из найденных проблем больше всего рисков несет уязвимость типа Spoofing — она позволяет прислать вредоносную ссылку, превью которой будет замаскировано под легитимный сайт, говорит старший исследователь угроз информационной безопасности «Лаборатории Касперского» Борис Ларин: «В результате недостаточно внимательные пользователи могут стать жертвами, например, фишинговой атаки».

В целом, если сравнивать Microsoft Teams и Zoom, то в базе данных общеизвестных уязвимостей CVE Details для последнего числится 34 проблемы, причем 14 из них выше 7-го уровня, то есть критичные, в то время как у Teams — всего 4 и все ниже 7-го уровня, уточнил директор по развитию «Информзащиты» Иван Мелехин. По его словам, причина в том, что Teams в первую очередь нацелен на корпоративный рынок, где требования по безопасности выше.

Директор по развитию TrueConf Дмитрий Одинцов уверен, что публичные сервисы всегда будут уязвимы: «Все произнесенное на любой онлайн-встрече в облачном сервисе может быть распознано и, скорее всего, будет распознано, значит, может стать объектом утечки в любой момент в дальнейшем — тут нет гарантии безопасности». Эту проблему можно решить установкой собственных автономных систем видео-конференц-связи, считает он, причем лучше развернуть их «в закрытом контуре».

Юлия Степанова

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...