安全研究人員發(fā)現(xiàn)了Microsoft Teams中的一個缺陷,該缺陷使他們能夠通過發(fā)送惡意GIF圖像來竊取用戶帳戶中的消息。
安全公司Cyber??Ark在周一發(fā)布的視頻中證明了這次攻擊。其研究人員使用網(wǎng)絡(luò)模因“ Whale Hello There”在與目標(biāo)用戶的聊天會話中觸發(fā)了該漏洞。攻擊然后秘密洗劫了受害者寫的每條Microsoft Teams消息。
“最終,攻擊者可以訪問您組織的Teams帳戶中的所有數(shù)據(jù)-收集機密信息,會議和日歷信息,競爭數(shù)據(jù),機密信息,密碼,私人信息,商業(yè)計劃等,” Cyber??Ark在其報告中說。
研究人員在檢查Microsoft Teams如何通過工作場所消息傳遞平臺接收和發(fā)送圖像文件時發(fā)現(xiàn)了該缺陷。隨著圖像文件的共享和存儲,該軟件將生成一個數(shù)字身份驗證令牌,以確定哪些用戶可以看到圖像,哪些用戶看不到。