Útočníci mohli překonat odhalenou bezpečnostní díru v chatovací službě Microsoft Teams, která by jim umožnila vydávat se za zaměstnance cílové společnosti tím, že by četli a posílali e-maily jejich jménem. Útočníci mohli chybu použít k získání oprávnění ke čtení a zápisu pro e-mail uživatele oběti, chaty týmů, OneDrive, Sharepoint a spoustu dalších služeb.
Evan Grant ze společnosti Tenable v příspěvku vysvětlil, že našel chybu v Microsoft Power Apps.
Chyba je jednoduchá, má co do činění s nedostatečným ověřením vstupu. Grant uvedl, že tuto chybu zabezpečení bylo možné využít k zajištění trvalého přístupu ke čtení a zápisu oběti, včetně e-mailu, chatů Teams, OneDrive, Sharepoint a řady dalších služeb.
Takové útoky lze provádět prostřednictvím škodlivé karty Microsoft Teams a toků Power Automate, vysvětlil Grant. Microsoft již chybu opravil.
Více zde: threatpost.com