古风名字,小说排行榜,梦入神机

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

MicrosoftTeams允許網(wǎng)絡(luò)釣魚(yú)漏洞，自3月至今未被修復(fù)

12月22日bleepingcomputer消息，自今年3月以來(lái)，就有報(bào)道稱 Microsoft Teams 鏈接預(yù)覽功能存在一些安全漏洞，但微軟卻表示不會(huì)修復(fù)或者推遲這些漏洞的修補(bǔ)計(jì)劃。

創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：做網(wǎng)站、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的富平網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

這些安全漏洞由德國(guó) IT 安全咨詢公司 Positive Security 聯(lián)合創(chuàng)始人 Fabian Br?unlein 發(fā)現(xiàn)，分別是服務(wù)器端請(qǐng)求偽造 (SSRF)漏洞、URL 預(yù)覽欺騙漏洞、IP 地址泄漏 (Android) 漏洞和被稱為死亡消息 (Android) 的拒絕服務(wù) (DoS) 漏洞。

Br?unlein 向 Microsoft 安全響應(yīng)中心 (MSRC) 報(bào)告了四個(gè)漏洞，該中心負(fù)責(zé)調(diào)查有關(guān) Microsoft 產(chǎn)品及服務(wù)的漏洞報(bào)告。

“這些漏洞允許訪問(wèn)微軟內(nèi)部服務(wù)，欺騙鏈接預(yù)覽，并且，對(duì)于Android用戶來(lái)說(shuō)，泄露他們的IP地址和破壞他們的Teams應(yīng)用程序/渠道，”研究人員說(shuō)。

在這四個(gè)漏洞中，微軟只解決了IP 地址泄漏 (Android) 漏洞，對(duì)于其他漏洞，微軟表示他們并未在當(dāng)前版本中修復(fù) SSRF，而 DoS 也是計(jì)劃在未來(lái)版本中考慮修復(fù)。

使用戶暴露于網(wǎng)絡(luò)釣魚(yú)的漏洞未被修補(bǔ)

至于URL預(yù)覽欺騙漏洞，雖然被標(biāo)記為不會(huì)對(duì) Teams 用戶構(gòu)成任何危險(xiǎn)，但威脅者可以利用該漏洞偽裝成惡意鏈接，進(jìn)行釣魚(yú)攻擊。

微軟表示：“MSRC 調(diào)查了這個(gè)問(wèn)題并得出結(jié)論，認(rèn)為這不會(huì)構(gòu)成直接威脅，不需要緊急關(guān)注。因?yàn)橐坏┯脩酎c(diǎn)擊 URL，他們將不得不轉(zhuǎn)到那個(gè)惡意 URL，這將是一個(gè)免費(fèi)的樣品，用戶能看到不是其想打開(kāi)的鏈接應(yīng)該不會(huì)上當(dāng)?！?/p>

研究人員補(bǔ)充說(shuō)：“雖然所發(fā)現(xiàn)的漏洞影響有限，但令人驚訝的是，如此簡(jiǎn)單的攻擊載體以前似乎沒(méi)有被測(cè)試過(guò)，而且微軟沒(méi)有意愿或資源來(lái)保護(hù)他們的用戶免受其害?！?/p>

自 7 月以來(lái)，Teams 還使用 Defender for Office 365 安全鏈接保護(hù)，來(lái)保護(hù)用戶免受基于 URL 的網(wǎng)絡(luò)釣魚(yú)攻擊，這在一定程度上解釋了該公司決定不解決可能在網(wǎng)絡(luò)釣魚(yú)活動(dòng)中濫用的欺騙漏洞。

雖然安全鏈接保護(hù)對(duì)所有Teams用戶都可用，并且適用于跨對(duì)話、群組聊天和Teams渠道共享的鏈接，但它仍然需要通過(guò)在Microsoft 365 Defender門(mén)戶中設(shè)置安全鏈接策略來(lái)啟用。

參考來(lái)源：

https://www.bleepingcomputer.com/news/security/microsoft-teams-bug-allowing-phishing-unpatched-since-march/

網(wǎng)站欄目：MicrosoftTeams允許網(wǎng)絡(luò)釣魚(yú)漏洞，自3月至今未被修復(fù)
文章路徑：http://fisionsoft.com.cn/article/dhsehcp.html

新聞中心

使用戶暴露于網(wǎng)絡(luò)釣魚(yú)的漏洞未被修補(bǔ)

其他資訊