В Microsoft Teams обнаружены важные уязвимости

24 декабря 2021

В популярном корпоративном мессенджере Microsoft Teams нашлись важные уязвимости. Это еще одно напоминание о том, что публичные сервисы не дают гарантий безопасности в принципе.

Что произошло

Группа кибербезопасности из Германии Positive Security обнародовала четыре уязвимости Microsoft Teams. Из сообщения следует, что разработчик был уведомлен о них еще в марте, отмечает «Коммерсант». Более того, Microsoft недоплатил за обнаружение одной критической уязвимости и не исправил остальные, утверждает компания.

Самая явная уязвимость — возможность подменить превью ссылки и увести пользователя на фишинговый сайт либо скрыть вредоносную ссылку. Кроме того, мессенджер на платформе Android позволяет посторонним агентам получить IP-адрес пользователя и служебную информацию.

В Microsoft «Коммерсанту» сказали, что изучили все четыре уязвимости и «они не представляют непосредственной угрозы, требующей исправлений в системе безопасности». А утечка IP-адресов на Android закрыта.

Почему это важно

Microsoft Teams - четвертая по популярности платформа среди мессенджеров и пятая среди сервисов видеоконференций у российских корпоративных пользователей (по данным TrueConf, 6% и 9% соответственно). Как изначально корпоративный продукт, она считается более защищенной, чем лидирующие WhatsApp или Zoom.

Самую большую угрозу из названных уязвимостей представляет подмена превью, цитирует «Коммерсант» старшего исследователя угроз информационной безопасности «Лаборатории Касперского» Бориса Ларина: «В результате недостаточно внимательные пользователи могут стать жертвами, например, фишинговой атаки».

По значению и охвату обнаруженные уязвимости не идут ни в какое сравнение с катастрофой Apache Log4j, о которой мы рассказывали в технорассылке. После того, как они стали публичными, Microsoft придется их закрыть, но, как всегда, останется вопрос, сколько еще «дыр» в защите осталось. В широком смысле это еще раз демонстрирует, что действительно защищенными могут быть только автономные видеосервисы и мессенджеры внутри компании. Однако они требуют значительных затрат и квалифицированных IT-специалистов, которых в России не хватает.

#кибербезопасность

Скопировать ссылку

Новости

Россия пробует отсудить у Euroclear все замороженные активы

час назад

Источник:

The Bell

Сумма иска ЦБ, который он подал к бельгийскому депозитарию Euroclear в Арбитражный суд Москвы, составляет 18,2 трлн рублей, узнал РБК. Истец будет ходатайствовать о рассмотрении дела в закрытом режиме по соображениям банковской тайны.

Новости

Украина готова отказаться от стремления в НАТО в обмен на западные гарантии безопасности

22 часа назад

Источник: Reuters

Украина откажется от вступления в военный альянс в качестве компромисса, чтобы прекратить войну с Россией. Об этом заявил президент Владимир Зеленский перед переговорами с американскими представителями в Берлине, передает Reuters.

Новости

Известные россияне безуспешно просили Путина реабилитировать Ивана Урганта

14 декабря 2025

Источник: The New York Times

Владимир Путин отказался «реабилитировать» телеведущего Ивана Урганта по просьбе известных россиян, пишет The New York Times. Издание выпустило об Урганте большой материал. По словам источников, Путин резко реагировал на подобные просьбы.

Новости

«Роснано» подала новый иск против Чубайса

13 декабря 2025

Источник: РБК

Группа «Роснано» предъявила иск о взыскании 11,9 млрд рублей к своим бывшим руководителям, включая Анатолия Чубайса. Иск связан с попыткой создать в России производство магниторезистивной оперативной памяти MRA, пишет РБК. Менеджеры госкорпорации якобы впустую потратили деньги.