सुरक्षा शोधकर्ताओं ने Microsoft टीम सॉफ़्टवेयर के भीतर चार अलग-अलग कमजोरियाँ पाई हैं जिनका उपयोग किसी भी हमलावर द्वारा आईपी पते को लीक करने, लिंक पूर्वावलोकन को खराब करने और यहां तक कि कंपनी की आंतरिक सेवाओं तक पहुंचने के लिए किया जा सकता है। TechRadar रिपोर्ट करता है कि सकारात्मक सुरक्षा के शोधकर्ताओं ने इन खोजों को इलेक्ट्रॉन और टीमों में समान-मूल नीति (एसओपी) को बायपास करने की कोशिश करते हुए “ठोकर” दिया। एसओपी एक सुरक्षा प्रोटोकॉल है जो सभी ब्राउज़रों में पाया जाता है जो वेबसाइटों को एक दूसरे पर हमला करने से रोकता है।
मामले की जांच के दौरान, शोधकर्ताओं ने पाया कि वे टीम में लिंक पूर्वावलोकन सुविधा का फायदा उठाकर माइक्रोसॉफ्ट के वीडियो कॉन्फ्रेंसिंग सॉफ़्टवेयर में एसओपी को बायपास करने में सक्षम थे। वे उपभोक्ता को लक्ष्य पृष्ठ के लिए एक लिंक पूर्वावलोकन सेट करने की अनुमति देकर और फिर जानकारी प्राप्त करने के लिए पूर्वावलोकन छवि पर ऑप्टिकल कैरेक्टर रिकग्निशन (ओसीआर) या सारांश टेक्स्ट का उपयोग करके ऐसा करने में सक्षम थे। इसके अलावा, इस क्रिया को करते हुए, सकारात्मक सुरक्षा के सह-संस्थापक, फैबियन ब्रौनलिन ने सुविधा के कार्यान्वयन में अन्य असंबंधित सुरक्षा मुद्दों की खोज की।
Teams . में मौजूद अन्य सुरक्षा मुद्दे
ब्रौनलेन को टीमों में मिले चार बग में से दो किसी भी डिवाइस पर लागू हो सकते हैं और सर्वर-साइड अनुरोध जालसाजी (SSRF) और स्पूफिंग के लिए भी अनुमति दे सकते हैं। दूसरी ओर, अन्य दो बग केवल एंड्रॉइड स्मार्टफोन को प्रभावित करते हैं और डेनियल ऑफ सर्विस (डॉस) प्राप्त करने और आईपी पते को लीक करने के लिए इसका दुरुपयोग किया जा सकता है।
शोधकर्ता SSRF भेद्यता का उपयोग करके तकनीकी दिग्गज के स्थानीय नेटवर्क से जानकारी निकालने में सक्षम थे। इस बीच, फ़िशिंग हमलों के प्रभाव को बढ़ाने या दुर्भावनापूर्ण लिंक को छिपाने के लिए इस स्पूफ़िंग बग का उपयोग किया जा सकता है।
डॉस बग आपको परेशान करता है क्योंकि एक हमलावर उपयोगकर्ता को एक संदेश भेज सकता है जिसमें एक अज्ञात पूर्वावलोकन लिंक लक्ष्य के साथ एक लिंक पूर्वावलोकन होगा (उदाहरण के लिए “https: //…” के बजाय “बूम”) जो निश्चित रूप से दुर्घटनाग्रस्त हो जाएगा Android में चल रहा Teams ऐप. यदि आप दुर्भावनापूर्ण संदेश के साथ चैट या चैनल तक पहुंचने का प्रयास करते हैं तो ऐप क्रैश होता रहेगा।
सकारात्मक सुरक्षा ने मार्च 2021 में अपने बग बाउंटी कार्यक्रम के माध्यम से Microsoft को अपने ज्ञान का खुलासा करने की जिम्मेदारी ली। हालाँकि, तकनीकी दिग्गज उस समय तक केवल Android के लिए टीमों में IP पता लीक सुरक्षा समस्या को ठीक करने में सक्षम थे।
सकारात्मक सुरक्षा ने अंततः अपने निष्कर्षों का सार्वजनिक रूप से खुलासा कर दिया है, इसलिए Microsoft को बाकी तीन सुरक्षा मुद्दों को ठीक करना होगा, भले ही सॉफ्टवेयर दिग्गज ने शोधकर्ताओं को सूचित किया कि ये कमजोरियां उसके उपयोगकर्ताओं के लिए तत्काल खतरा पैदा नहीं करती हैं।
.
