Dopo la falla di aprile 2020, una nuova vulnerabilità ha colpito la versione web, Linux, Windows e macOS di Teams. Microsoft ha già corretto la falla, ma è necessario aggiornare il client desktop.

Microsoft Teams vulnerabile

Il ricercatore di sicurezza Oskars Vegeris ha rivelato un exploit wormable per Microsoft Teams, che sfrutta il client di chat solo visualizzando un messaggio, senza alcuna interazione da parte dell’utente finale. Il risultato è una “completa perdita di riservatezza e integrità per gli utenti finali: accesso a chat private, file, rete interna, chiavi private e dati personali al di fuori di MS Teams“, ha affermato Vegeris. Sfruttando un altro difetto di cross-site scripting (XSS) presente nella funzionalità @mentions di Teams e un payload RCE basato su JavaScript, il codice può anche essere diffuso ad altri utenti dell’app Teams, creando un exploit auto-diffuso.

L’exploit è multipiattaforma, interessando il client Windows, Mac, Linux e persino l’app web. La vulnerabilità è stata scoperta a fine agosto e Microsoft ha chiuso la falla con un aggiornamento dell’app a fine ottobre. Aprite subito il client di Teams, cliccate sul vostro avatar in alto a destra e selezionate Informazioni > Versione. Se la versione del client è inferiore alla seguente è necessario aggiornare subito il programma:

  • Windows – v 1.3.00.21759
  • Linux – v 1.3.00.16851
  • macOS – v 1.3.00.23764

Per ricercare nuovi aggiornamenti, cliccate sul vostro avatar in alto a destra e cliccate Controlla aggiornamenti. Se necessario, verrà scaricata l’ultima versione di Microsoft Teams per il vostro sistema operativo.

Anche i competitor di Teams sono vulnerabili: Vegeris aveva anche rivelato in precedenza un difetto critico wormable nella versione desktop di Slack, che avrebbe potuto consentire a un utente malintenzionato di assumere il controllo del sistema semplicemente inviando un file dannoso a un altro utente Slack.

Avete aggiornato Microsoft Teams all’ultima versione? Cosa ne pensate di questa vulnerabilità? Fatecelo sapere nei commenti.

Articolo di Windows Blog Italia
Fonte | Thehackernews