当前位置:首页 > 电脑快讯 > 正文

美国海军研究人员揭露微软团队安全漏洞

美国海军研究人员揭露微软团队安全漏洞

海军做了很多事情,表面上看,这些事情与舰艇和潜艇无关。其中之一是信息安全研究,最新一批展示了如何利用微软团队通信套件中最近发现的一些错误。这个实验工具被称为“TeamsPhisher”,可以用来从外部来源在整个团队组中发送附件,在没有任何安全许可的情况下潜在地感染整个公司。

这个基于Python的工具是由海军红色团队的亚历克斯·里德发布的,该团队模拟对重要基础设施的攻击,并提出降低风险的方法。利用团队中的多个众所周知的缺陷,该软件包可以作为外部组织的成员访问团队组,然后向组织内部团队的多个成员发送消息和附件。唯一的先决条件是至少有一个用户安装了Microsoft Business帐户和Sharepoint。

根据BleepingComputer的说法,该系统可以用来实施相当标准的网络钓鱼或感染技术。甚至还有一些方法可以改进自动攻击,比如让文件看起来特定于用户,或者让消息以定时延迟的方式显示,这样它们就不会明显地由机器人生成。一旦消息和文件被传播,攻击者在没有一些相当强大的额外安全措施的情况下获得对Windows系统的远程访问权限将是微不足道的。

微软知道并承认TeamsPhisher利用的漏洞,但目前还没有解决这些漏洞的计划。一位发言人告诉BleepingComputer:“我们注意到了这份报告,并确定它依赖于社会工程才能成功。”里德建议团队用户屏蔽外部域以防止此类攻击。

有话要说...