安全研究人員發(fā)現(xiàn)了Microsoft Teams中的一個缺陷，該缺陷使他們能夠通過發(fā)送惡意GIF圖像來竊取用戶帳戶中的消息。

安全公司Cyber??Ark在周一發(fā)布的視頻中證明了這次攻擊。其研究人員使用網(wǎng)絡(luò)模因“ Whale Hello There”在與目標(biāo)用戶的聊天會話中觸發(fā)了該漏洞。攻擊然后秘密洗劫了受害者寫的每條Microsoft Teams消息。

“最終，攻擊者可以訪問您組織的Teams帳戶中的所有數(shù)據(jù)-收集機密信息，會議和日歷信息，競爭數(shù)據(jù)，機密信息，密碼，私人信息，商業(yè)計劃等，” Cyber??Ark在其報告中說。

研究人員在檢查Microsoft Teams如何通過工作場所消息傳遞平臺接收和發(fā)送圖像文件時發(fā)現(xiàn)了該缺陷。隨著圖像文件的共享和存儲，該軟件將生成一個數(shù)字身份驗證令牌，以確定哪些用戶可以看到圖像，哪些用戶看不到。