• 24 декабря, 2021, 10:14
    Обновлено 10:14

Эксперты в области кибербезопасности обнаружили 4 уязвимости в Microsoft Teams

Андрей Гольев
Андрей Гольев
Эксперты в области кибербезопасности обнаружили 4 уязвимости в Microsoft Teams
Фото: pexels.com
Эксперты в области кибербезопасности обнаружили 4 уязвимости в Microsoft Teams
Фото: pexels.com

Группа немецких исследователей кибербезопасности из компании Positive Security обнаружила уязвимости в платформе Microsoft Teams, входящей в ТОП-5 наиболее популярных у российского бизнеса средств коммуникации. Уязвимости грозят фишинговыми атаками или появлением вредоносных ссылок. При этом, по оценкам экспертов, в Microsoft Teams, который в первую очередь нацелен на корпорации, меньше угроз, чем, например, в популярной программе Zoom. Однако главная проблема заключается в том, что публичные сервисы в целом не дают гарантий безопасности — решить вопрос можно лишь созданием собственной закрытой системы видео-конференц-связи, пишет газета «Коммерсантъ».

В популярной платформе для корпоративных коммуникаций Microsoft Teams были обнаружены 4 уязвимости. Сообщение об этом появилось 22 декабря в блоге немецких исследователей кибербезопасности Positive Security. По словам специалистов, они уведомили Microsoft о проблемах еще в марте, но международный вендор исправил лишь одну уязвимость. Две недели назад в той же Positive Security заявили, что Microsoft неверно оценила масштаб проблемы и полностью отклонила ее, после апелляции вопрос классифицировали как «критический», но корпорация выплатила аналитикам всего 10% от суммы вознаграждения по программе поиска уязвимостей — 5 тысяч долларов вместо положенных 50 тысяч долларов.

Речь тут идет об уязвимостях в функции предварительного просмотра ссылок: при клике на предварительном просмотре открывается ссылка, которая отличается от той, что ожидает увидеть пользователь. Эксперты отметили, что это могут использовать злоумышленники либо для фишинговых атак, либо для скрытия вредоносных ссылок, а пользователям Android уязвимости грозят утечкой их IP-адресов.

В Microsoft подчеркнули, что изучили все 4 уязвимости и, по словам сотрудника компании, «они не представляют непосредственной угрозы», которая требовала бы внесения срочных исправлений в систему безопасности.

Компания уже получала подобные сообщения в прошлом и недавно внесла несколько улучшений для работы с данными. Сделанные изменения блокируют воспроизведение ряда уязвимостей, в том числе утечку IP-адресов на Android.

Microsoft Teams, по оценке TrueConf, в прошлом году занимал четвертое место по популярности среди российских корпоративных пользователей в качестве мессенджера (его использовали порядка 6% юзеров) после WhatsApp, Telegram и TrueСonf, а также пятое место в качестве средства видеосвязи (9% юзеров). Лидерами в этой категории являются Zoom, TrueСonf, Skype и Skype for business.

По данным базы TAdviser за период с 2005 до ноября 2021 года, Microsoft также занимает четвертое место по популярности среди вендоров систем видео-конференц-связи, реализовав на нашем рынке 140 проектов. В 2020-м, по оценке Telecom Daily, рынок видео-конференц-связи в России составил 2,5 миллиарда рублей.

Из обнаруженных экспертами проблем больше всего рисков несет уязвимость типа Spoofing, которая позволяет прислать вредоносную ссылку, а ее превью будет замаскировано под легитимный сайт, пояснил старший исследователь угроз информационной безопасности «Лаборатории Касперского» Борис Ларин. По его словам, это может привести к тому, что недостаточно внимательные пользователи станут жертвами, к примеру, фишинговой атаки.

Если сравнивать между собой Microsoft Teams и Zoom, то в базе данных общеизвестных уязвимостей CVE Details для последнего числится 34 проблемы, 14 из которых выше 7-го уровня, то есть они критичные, в то время как у Teams — лишь 4 и все ниже 7-го уровня, пояснил директор по развитию «Информзащиты» Иван Мелехин. Он отметил, что Teams нацелен на корпоративный рынок, где требования по безопасности выше, в этом и заключается основная проблема.

Директор по развитию TrueConf Дмитрий Одинцов убежден, что публичные сервисы всегда будут уязвимы для хакеров. По его словам, все произнесенное на любой онлайн-встрече в облачном сервисе может быть распознано и, вероятнее всего, будет распознано, следовательно, может стать объектом утечки. Эту проблему можно было бы решить установкой собственных автономных систем видео-конференц-связи, причем лучше всего развернуть их «в закрытом контуре».

Ранее стало известно, что США хотят провести скрытные кибератаки на российские сети в ответ на атаку на программное обеспечение компании SolarWinds. Атаку будут сопровождать экономические санкции и указ президента США Джо Байдена, который призван ускорить укрепление защиты американских сетей.

Подписывайтесь на LIVE24.RU в Google News, Яндекс.Новости и на наш канал в Яндекс.Дзен, следите за главными новостями России и Мира в telegram-канале LIVE24.RU.


Поделитесь новостью:
  • Запись о регистрации СМИ:
    ЭЛ № ФС 77 - 74986 выдано Роскомнадзором 19.02.2019 г.
  • Запись о регистрации информационного агентства:
    ИА № ФС 77 - 74985 выдано Роскомнадзором 19.02.2019г.
  • Учредитель:
    ООО «ЛАЙВ24», ИНН 4632247680
  • Главный редактор:
    Новиков Михаил Владимирович
  • Адрес электронной почты редакции:
    info@live24.ru
  • Телефон редакции:
    +7 (4712) 55-10-24
В сетевом издании LIVE24 размещены материалы информационного агентства LIVE24.
Некоторые материалы содержат стоковые изображения от Depositphotos, Pixabay, АГН Москва
18

В России признаны экстремистскими и запрещены организации «Национал-большевистская партия», «Свидетели Иеговы», «Армия воли народа»,«Русский общенациональный союз», «Движение против нелегальной иммиграции», «Правый сектор», УНА-УНСО, УПА, «Тризуб им. Степана Бандеры»,«Мизантропик дивижн», «Меджлис крымскотатарского народа», движение «Артподготовка», общероссийская политическая партия «Воля», АУЕ. Признаны террористическими и запрещены: «Движение Талибан», «Имарат Кавказ», «Исламское государство» (ИГ, ИГИЛ), Джебхад-ан-Нусра, «АУМ Синрике», «Братья-мусульмане», «Аль-Каида в странах исламского Магриба».

Организации, СМИ и физические лица, признанные в России иностранными агентами: "Голос Америки" "Idel.Реалии" "Фактограф" "Север.Реалии" Общество с ограниченной ответственностью "Радио Свободная Европа/Радио Свобода" Чешское информационное агентство "MEDIUM-ORIENT" Пономарев Лев Александрович Савицкая Людмила Алексеевна Маркелов Сергей Евгеньевич Камалягин Денис Николаевич Апахончич Дарья Александровна «Medusa Project» Общество с ограниченной ответственностью «Первое антикоррупционное СМИ» «VTimes.io» Баданин Роман Сергеевич Гликин Максим Александрович Маняхин Петр Борисович Ярош Юлия Петровна Чуракова Ольга Владимировна Железнова Мария Михайловна Лукьянова Юлия Сергеевна Маетная Елизавета Витальевна «The Insider» Рубин Михаил Аркадьевич Гройсман Софья Романовна Рождественский Илья Дмитриевич Апухтина Юлия Владимировна Постернак Алексей Евгеньевич Общество с ограниченной ответственностью Телеканал Дождь Петров Степан Юрьевич Юридическое лицо Istories fonds Шмагун Олеся Валентиновна Мароховская Алеся Алексеевна Долинина Ирина Николаевна Шлейнов Роман Юрьевич Анин Роман Александрович Великовский Дмитрий Александрович Общество с ограниченной ответственностью «Альтаир 2021» Общество с ограниченной ответственностью «Ромашки монолит» Общество с ограниченной ответственностью «Главный редактор 2021» Общество с ограниченной ответственностью «Вега 2021» Общество с ограниченной ответственностью «Важные иноагенты» Каткова Вероника Вячеславовна Карезина Инна Павловна Кузьмина Людмила Гавриловна Костылева Полина Владимировна Лютов Александр Иванович Жилкин Владимир Владимирович Жилинский Владимир Александрович Тихонов Михаил Сергеевич Пискунов Сергей Евгеньевич Ковин Виталий Сергеевич Кильтау Екатерина Викторовна Любарев Аркадий Ефимович Гурман Юрий Альбертович Грезев Александр Викторович Важенков Артем Валерьевич Иванова София Юрьевна Пигалкин Илья Валерьевич Петров Алексей Викторович Егоров Владимир Владимирович Гусев Андрей Юрьевич Смирнов Сергей Сергеевич Верзилов Петр Юрьевич Общество с ограниченной ответственностью «ЗП» Общество с ограниченной ответственностью «Зона права» Общество с ограниченной ответственностью «ЖУРНАЛИСТ-ИНОСТРАННЫЙ АГЕНТ» Вольтская Татьяна Анатольевна Клепиковская Екатерина Дмитриевна Сотников Даниил Владимирович Захаров Андрей Вячеславович Симонов Евгений Алексеевич Сурначева Елизавета Дмитриевна Соловьева Елена Анатольевна Арапова Галина Юрьевна Перл Роман Александрович Общество с ограниченной ответственностью «МЕМО» Американская компания «Mason G.E.S. Anonymous Foundation» (США) Компания «Stichting Bellingcat» Автономная некоммерческая организация по защите прав человека и информированию населения «Якутия – Наше Мнение» Общество с ограниченной ответственностью «Москоу диджитал медиа» Акционерное общество «РС-Балт», Левада-Центр


© ООО ЛАЙВ24.
Наверх