Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Microsoft Teams was kwetsbaar voor zero-click remote code execution

maandag 7 december 2020, 16:36 door Redactie, 8 reacties

Microsoft Teams bevatte een kwetsbaarheid waardoor het mogelijk was om zonder interactie van gebruikers code op het onderliggende systeem uit te voeren. Alleen het versturen van een speciaal geprepareerd chatbericht dat in de Teams-applicatie van de gebruiker werd getoond was voldoende om toegang tot het systeem van de gebruiker te krijgen. Een worm had de kwetsbaarheid kunnen gebruiken om zich automatisch onder gebruikers van de dienst te verspreiden.

Het probleem speelde bij de desktopapplicatie van Microsoft Teams voor Linux, macOS en Windows, zo meldt onderzoeker Oskars Vegeris. Daarnaast was de online dienst teams.microsoft.com kwetsbaar voor cross-site scripting (XSS) waardoor een aanvaller SSO-autorisatietokens voor Microsoft Teams en andere Microsoft-diensten, zoals Skype, Outlook en Office365, had kunnen stelen. Via het XSS-lek had een aanvaller vanuit Microsoft Teams ook toegang tot vertrouwelijke gesprekken en bestanden kunnen krijgen.

De onderzoekers ontdekten in de desktopapplicatie een manier om de beperkingen van Microsoft Teams wat betreft het uitvoeren van JavaScript-code te omzeilen. Vervolgens gebruikten ze een API van Microsoft Teams voor het downloaden en uitvoeren van een bestand. Dit was mogelijk zonder interactie van de gebruiker, vandaar de term zero-click.

De onderzoekers rapporteerden de problemen bij Microsoft dat de impact voor de online dienst als "important" bestempelde en "spoofing" als enige impact noemde. Voor de desktopapplicaties stelde Microsoft dat het wel om een kritieke kwetsbaarheid ging die remote code execution mogelijk maakte. De problemen zijn inmiddels via updates verholpen.

Image

NSA waarschuwt voor actief misbruik van lek in VMware Workspace One Access
EFF: angst voor misbruik persoonlijke data hindert bron- en contactonderzoek
Reacties (8)
Reageer met quote
07-12-2020, 16:50 door Anoniem
Heb een rothekel aan die zooi. Maar de werkgever verplicht het gebruik ervan.
Reageer met quote
07-12-2020, 18:25 door Anoniem
Een zeroday RCE dus gewoon. Wat een plaag al die nutteloze benamingen.
Reageer met quote
07-12-2020, 20:43 door Anoniem
Door Anoniem: Heb een rothekel aan die zooi. Maar de werkgever verplicht het gebruik ervan.
Yup. Same. maarja elke app heeft wel wat. Het verschil is echter dat bij microsoft alles aan elkaar gekoppeld zit. Dat is voor de beheerder goed maar ook voor de hacker.
Reageer met quote
07-12-2020, 21:40 door walmare
Door Anoniem: Heb een rothekel aan die zooi. Maar de werkgever verplicht het gebruik ervan.
Hier is het ook verplicht maar ze gebruiken stiekem zoom. Waarom weet ik niet.
Reageer met quote
07-12-2020, 23:35 door Toje Fos
Microsoft Teams was kwetsbaar voor zero-click remote code execution
What else...
Reageer met quote
08-12-2020, 10:53 door Anoniem
Door Anoniem: Heb een rothekel aan die zooi. Maar de werkgever verplicht het gebruik ervan.
Maar je weet het he, Zoom is verdacht want Chinees. Teams mag je gerust gebruiken want is Amerikaans.
Zo lopen de hazen tegenwoordig.
Reageer met quote
08-12-2020, 16:46 door Anoniem
Jitsi (https://jitsi.org/jitsi-meet/) lijkt me een prima alternatief.
Reageer met quote
09-12-2020, 15:45 door Anoniem
Door Anoniem:
Door Anoniem: Heb een rothekel aan die zooi. Maar de werkgever verplicht het gebruik ervan.
Maar je weet het he, Zoom is verdacht want Chinees. Teams mag je gerust gebruiken want is Amerikaans.
Zo lopen de hazen tegenwoordig.

BS. Zoom was in het begin van het jaar (a) lek en (b) moeilijk te beveiligen. Inmiddels (a) gedicht en (b) veel vriendelijker gemaakt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Certified Secure LIVE Online training

CoronaCheck app voor toegang tot sociale activiteiten:

24 reacties
Aantal stemmen: 978
Wetsvoorstel dat toegang via testbewijzen regelt naar Tweede Kamer
19-04-2021 door Redactie

Het wetsvoorstel dat ervoor zorgt dat testbewijzen kunnen worden ingezet voor toegang tot activiteiten zoals sportwedstrijden, ...

30 reacties
Lees meer
Is strafrechtelijke vervolging van verkoop van gamecheats ook denkbaar in Nederland?
14-04-2021 door Arnoud Engelfriet

Juridische vraag: In de media wordt bericht dat in China een crimineel collectief is opgepakt dat gamecheats verkocht. Volgens ...

10 reacties
Lees meer
Datalek bij nieuwbouw
13-04-2021 door Anoniem

In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...

14 reacties
Lees meer
Beste manier om een wachtwoord te bewaren?
09-04-2021 door EenVraag

Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?

17 reacties
Lees meer
Datakluis als gouden kogel tegen datalekken?
15-04-2021 door Anoniem

Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...

22 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter