bug, जिसे अब ठीक कर दिया गया है, ने एक हमलावर को पीड़ित के ईमेल, टीम संदेश और वनड्राइव फ़ाइलों को चुराने की अनुमति दी, साथ ही उनकी ओर से ईमेल और संदेश भेजने की अनुमति दी।
यह tenable के स्टाफ रिसर्च इंजीनियर Evan Grant द्वारा खोजा गया था, जिन्होंने आज (15 जून) को जारी एक ब्लॉग पोस्ट में सुरक्षा मुद्दे को विस्तृत किया।
Surface of attackers:
हमला Microsoft Power Apps tab में एक vulnerability पर निर्भर करता है। Microsoft Teams में एक default विशेषता होती है जो उपयोगकर्ता को किसी भी टीम में एक tab के रूप में छोटे application (या एप्लेट) launch करने की अनुमति देती है, जिसका वे हिस्सा हैं।
यदि वह उपयोगकर्ता किसी Office 365/Teams संगठन का हिस्सा है जिसके पास Business Basic license या उससे अधिक है, तो उसके पास team tab के एक सेट तक भी पहुंच है, जिसमें Microsoft Power Apps एप्लिकेशन शामिल हैं, ब्लॉग पोस्ट बताता है।
teams के एक अनपेक्षित संस्करण में, एक Actor एक दुर्भावनापूर्ण टैब सेट कर सकता है, जो पीड़ित द्वारा खोले जाने पर, उन्हें अपने निजी दस्तावेज़ों और संचार तक पहुंच की अनुमति देगा।
"इसके अलावा, हमलावर खुद को पीड़ित के रूप में प्रच्छन्न कर सकता है और उनकी ओर से ईमेल और संदेश भेज सकता है, संभावित रूप से उन्हें संगठन के भीतर आगे social engineering हमले करने की इजाजत देता है," Grant ने कहा।
Read more latest tech news post
"bug की सादगी के बावजूद, हमला अपने आप में काफी जटिल है और इसके लिए Microsoft Power Apps और Power Automation सुविधाओं के कार्यसाधक ज्ञान की आवश्यकता होती है।"
Resitrictions:
हालांकि, Grant ने बताया, malicious actor को Microsoft टीम संगठन का सदस्य होना चाहिए जिस पर वे हमला कर रहे हैं, जिसका अर्थ है कि यह केवल एक अंदरूनी खतरे के हमले के संदर्भ में काम करेगा।
bug के बारे में अधिक तकनीकी विवरण और अवधारणा का प्रमाण ब्लॉग पोस्ट में पाया जा सकता है।
Microsoft team के उपयोगकर्ताओं से आग्रह किया जाता है कि वे भेद्यता से बचाव के लिए software के नवीनतम संस्करण में अपडेट करें।
0 Comments