0
0
A Microsoft atualizou a plataforma de colaboração e comunicação Teams para eliminar uma vulnerabilidade que deixava as contas no serviço expostas a ataques. Descoberto pela empresa de segurança CyberArk, o erro podia ser explorado com o envio de links específicos – especialmente imagens.
Como o problema foi encontrado por especialistas e comunicado diretamente à Microsoft, não há qualquer registro de que hackers tenham se aproveitado da brecha em ataques reais contra usuários do Teams.
Com a atualização, o serviço não está mais vulnerável a esse problema.
O Teams é uma plataforma usada por empresas para coordenar trabalhos e facilitar o contato entre equipes e colaboradores. Em muitas organizações, o uso do canal fica restrito entre os próprios funcionários e, nesse caso, o hacker teria de começar a invasão atacando um deles por outros meios, fora do Teams.
A CyberArk demonstrou a invasão usando uma imagem animada, um “GIF”. No entanto, o preparo do ataque era mais importante do que a imagem utilizada, que servia apenas como uma intermediária para o acesso ao site do invasor.
O verdadeiro problema estava na forma como o Teams autorizava o acesso à conta do usuário. Por causa de um descuido da Microsoft em dois endereços ligados ao serviço, um hacker poderia desviar a comunicação direcionada a esses endereços e roubar a chave de autorização quando a vítima visualizasse uma imagem abrigada em um desses links.
A chave de autorização tem praticamente os mesmos poderes de uma senha. Dessa forma, o invasor poderia ler ou enviar mensagens em nome da pessoa que foi invadida, inclusive espalhando o golpe para seus contatos.
O desafio para o hacker ao explorar esta falha estaria em realizar o desvio do acesso aos endereços ligados ao Team e conseguir o acesso inicial de um dos usuários autorizados pela empresa, caso não fosse possível nenhuma forma de contato com um dos usuários da organização.
Teams ganhou milhões de usuários em meio à pandemia
O Teams é um dos produtos que vêm ganhando popularidade com a realidade imposta pelo combate à pandemia do novo coronavírus.
Em março, a Microsoft anunciou que o Teams ganhou 12 milhões de usuários em uma única semana, passando a marca de 44 milhões de usuários diários. O aumento chegou a causar instabilidade no serviço.
Nesse sentido, o Teams está em uma posição semelhante ao app de videconferência Zoom, cuja base de usuários também explodiu após o início da pandemia do novo coronavírus. O interesse pelo Zoom, no entanto, veio acompanhado de desconfiança após usuários terem reuniões invadidas.
Para empresas, o Teams é considerado uma das alternativas ao Zoom – além de coordenar a execução de tarefas, o serviço também permite a realização de reuniões em vídeo.
Ao contrário do Zoom, porém, o aplicativo ainda não está disponível para usuários domésticos. A Microsoft prepara uma versão do serviço para o segmento doméstico, chamada de “Teams for Home”, mas não há muitos detalhes sobre como ela vai funcionar.
FONTE: G1