
Wer sich mit IT Security befasst, kommt an den OWASP Top 10 nicht vorbei. Die Non-Profit-Organisation Open Web Application Security
Ein RCE-Fehler (Zero-Click Remote Code Execution) in Microsoft Teams-Desktop-Apps hat es ermöglicht, beliebigen Code auszuführen, indem lediglich eine speziell gestaltete Chat-Nachricht gesendet wird und das System zu gefährden.
Die Probleme wurden dem Windows-Hersteller am 31. August 2020 von Oskars Vegeris, einem Sicherheitsingenieur von Evolution Gaming, gemeldet, bevor sie Ende Oktober behoben wurden.
Microsoft hat dieser Sicherheitsanfälligkeit kein CVE zugewiesen. “Es ist derzeit die Richtlinie von Microsoft, keine CVEs für Produkte auszugeben, die automatisch ohne Benutzerinteraktion aktualisiert werden.”
“Es ist keine Benutzerinteraktion erforderlich. Der Exploit wird ausgeführt, sobald die Chat-Nachricht angezeigt wird”, erklärte Vegeris in einem technischen Bericht.
Das Ergebnis ist ein “vollständiger Verlust der Vertraulichkeit und Integrität für Endbenutzer – Zugriff auf private Chats, Dateien, internes Netzwerk, private Schlüssel und persönliche Daten außerhalb von MS Teams”, fügte der Forscher hinzu.
Schlimmer noch, der RCE ist plattformübergreifend und betrifft Microsoft Teams für Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764) und das Web (teams.microsoft.com). – und könnte durch ein automatisches Reposting böswilligen Nutzdaten auf andere Kanäle weitergegeben werden.
Wer sich mit IT Security befasst, kommt an den OWASP Top 10 nicht vorbei. Die Non-Profit-Organisation Open Web Application Security
Burp Suite von Portswigger und OWASP ZAP sind beides Programme mit einem Proxy-Server, welche auf deinem lokalen Gerät laufen. Mit
Unser Mitgründer Immanuel war zu Gast bei Radio Bonn/ Rhein-Sieg und hat dem Moderatoren-Team Nico Jansen und Jasmin Lenz und