微软了解 Microsoft Teams 的漏洞存在,但并不打算修复它
据安全公司Vectra称, Microsoft Teams以未加密的明文模式存储身份验证令牌,从而允许攻击者潜在地控制组织内的通信。该漏洞影响了使用微软 Electron 框架构建的 Windows、Mac 和 Linux 桌面应用程序。微软已经意识到了这个问题,但表示没有计划在短期内进行修复,因为漏洞利用还需要网络访问。
根据 Vectra 的说法,具有本地或远程系统访问权限的黑客可以窃取当前在线的任何 Teams 用户的凭据,然后即使在他们离线时也可以冒充他们。他们还可以通过与 Teams 相关的应用程序(例如 Skype 或 Outlook)假装是用户,同时绕过通常需要的多因素身份验证 (MFA)。
—— engadget
发表回复