Исследователи из компании Positive Security, работающей в сфере информационной безопасности, обнаружили в популярной платформе для корпоративных коммуникаций Microsoft Teams четыре уязвимости, которые могут использоваться хакерами для проведения фишинговых атак или размещения вредоносных ссылок. Об этом пишет «Коммерсантъ» со ссылкой на данные отчёта исследователей.

В сообщении сказано, что исследователи уведомили Microsoft о проблеме в марте этого года, но с тех пор софтверный гигант исправил лишь одну уязвимость. Изначально Microsoft неверно оценила масштаб проблемы, но после апелляции вопрос был классифицирован как «критический». Также отмечается, что софтверный гигант выплатил исследователям в рамках программы по обнаружению уязвимостей $5 тыс. вместо полагающихся $50 тыс.  

Согласно имеющимся данным, речь идёт об уязвимостях в инструменте предварительного просмотра ссылок. При переходе по ссылке через окно предварительного просмотра может открываться ссылка, отличная от той, что ожидает пользователь. Специалисты считают, что этот недочёт может использоваться для проведения фишинговых кампаний или распространения вредоносных ссылок. Кроме того, в случае взаимодействия с Teams с помощью Android-устройств уязвимости могут стать причиной утечки IP-адресов.

В Microsoft, комментируя данный вопрос, сообщили, что обнаруженные специалистами Positive Security уязвимости «не представляют серьёзной угрозы, требующей исправлений в системе безопасности». «Компания получала подобные сообщения в прошлом и недавно внесла ряд улучшений для работы с данными и безопасности в целом. Сделанные изменения блокируют воспроизведение некоторых из этих уязвимостей, включая утечку IP-адресов на Android», — приводит источник слова представителя Microsoft.