Microsoft Teams に深刻な Electron ベースの脆弱性:認証トークンの平文保存に起因

Microsoft Teams stores auth tokens as cleartext in Windows, Linux, Macs

2022/09/14 BleepingComputer — セキュリティ・アナリストたちは、Microsoft Teams のデスクトップ・アプリに存在する、深刻なセキュリティ脆弱性を発見した。この脆弱性の悪用に成功した脅威あぃたーは、認証トークンや多要素認証 (MFA) をオンにしたアカウントへのアクセスが可能になるという。Microsoft Teams は、365 製品群に含まれるコミュニケーション・プラットフォームであり、テキストメッセージの交換/ビデオ会議/ファイルの保存などに 2億7000万人以上が利用している。

Continue reading “Microsoft Teams に深刻な Electron ベースの脆弱性:認証トークンの平文保存に起因”

Electron ベース・アプリ 18種類に深刻な脆弱性: Teams/WhatsApp/Slack などに影響

Security Analysis Leads to Discovery of Vulnerabilities in 18 Electron Applications

2022/08/17 SecurityWeek — 各社の研究者チームが、Electron ベースのデスクトップ・アプリケーションを解析した結果、広く利用されている複数のソフトウェアに脆弱性が存在していることが判明した。Electron は、クロスプラットフォームのデスクトップ・アプリケーションを開発するための、無償で提供されるオープンソース・フレームワークである。たとえば、Microsoft Teams/WhatsApp/Slack といった、非常に人気の高いアプリケーションの構築にも利用されている。

Continue reading “Electron ベース・アプリ 18種類に深刻な脆弱性: Teams/WhatsApp/Slack などに影響”

Microsoft が Lapsus$ ハッキングを認める:Bing などのソースコードにアクセス

Microsoft confirms they were hacked by Lapsus$ extortion group

2022/03/22 BleepingComputer — Microsoft は、同社の従業員1名のアカウントが Lapsus$ にハッキングされ、この脅威アクターによる、同社のソースコードの一部へのアクセス/窃取が生じたことを認めた。昨夜、Lapsus$ ランサムウェアは、Microsoft の Azure DevOps サーバーから盗み出した 37GB のソースコードを公開した。このソースコードは、Bing/Cortana/Bing Maps などの、同社の様々なプロジェクトに関わるものである。

Continue reading “Microsoft が Lapsus$ ハッキングを認める:Bing などのソースコードにアクセス”

Microsoft Teams チャットを介したマルウェアの展開:過大な信頼は危険

Hackers slip into Microsoft Teams chats to distribute malware

2022/02/17 BleepingComputer — Microsoft Teams のアカウントを侵害してチャットに潜入し、会話の参加者に悪意の実行ファイルを拡散させる攻撃者がいると、セキュリティ研究者たちが警告している。毎月 2億7千万人以上のユーザーが Microsoft Teams を利用しているが、悪意のファイルに対する保護機能がないにもかかわらず、このプラットフォームは暗黙のうちに信頼されている。

Continue reading “Microsoft Teams チャットを介したマルウェアの展開:過大な信頼は危険”

Microsoft Teams のバグ:3月からフィッシングの脅威にさらされている?

Microsoft Teams bug allowing phishing unpatched since March

2021/12/22 BleepingComputer — Microsoft の発表は、2021年3月以降に報告された Microsoft Teams のリンクプレビュー機能に影響をおよぼす、複数のセキュリティ欠陥について、修正しないか、パッチを延期するというものだった。ドイツの IT セキュリティ・コンサルタント会社 Positive Security の Fabian Bräunlein が発見した4つの脆弱性は、Server-Side Request Forgery (SSRF)、URLプレビューの偽装、IP アドレスの漏洩 (Android) と、Message of Death (Android)と名付けられたサービス拒否 (DoS) につながるものだった。

Continue reading “Microsoft Teams のバグ:3月からフィッシングの脅威にさらされている?”

Slack/Teams/Zoom などによる攻撃面積の拡大を理解する

Understanding the Human Communications Attack Surface

2021/11/01 DarkReading — 最近の話だが、Slack/Microsoft Teams/Zoom などのチャネルで、人と人のコミュニケーションを悪用した脆弱性の公開や、PoC エクスプロイトの悪用などのインシデントが増えている。これらのクラウド・ベースのチャネルは、具体的な攻撃手段であるだけではなく、内部の人間にアクセスできるという点で、ヒューマン・コミュニケーションを悪用する犯罪者にとって、魅力的な手段となっている。

Continue reading “Slack/Teams/Zoom などによる攻撃面積の拡大を理解する”

Microsoft のパスワードレス・ログインが始まったらしい

Microsoft rolls out passwordless login for all Microsoft accounts

2021/09/15 BleepingComputer — Microsoft は、今後の数週間にわたってパスワードレス・ログインのサポートを展開し、顧客がパスワードを使用せずに Microsoft アカウントにサインインできるようにする。Microsoft は、2020年に 1億5,000万人以上のユーザーがパスワードを使用することなく、Azure Active Directory や Microsoft アカウントにログインしていることを報告した後に、3月から商用顧客環境でのパスワードレス認証の展開を許可した。

Continue reading “Microsoft のパスワードレス・ログインが始まったらしい”

Windows 10 と Exchange と Teams が Pwn2Own でハックされてしまった

Microsoft’s Windows 10, Exchange, and Teams hacked at Pwn2Own

2021/04/07 BleepingComputer — Pwn2Own 2021 の初日のこと、Microsoft Windows 10、Exchange Mail Server、Teams Communication Platform に挑むコンテストの参加者たちは、まだ知られていない脆弱性を利用してハッキングに成功し、総額で $440,000 の賞金をせしめた。最初に陥落したのは、Server カテゴリの Microsoft Exchange である。

Continue reading “Windows 10 と Exchange と Teams が Pwn2Own でハックされてしまった”