В сервисе для совместной работы и видеоконференций Microsoft Teams устранена уязвимость, эксплуатация которой могла использоваться для кражи учётных данных пользователей и другой конфиденциальной информации.3DNews
Для успешного проведения атаки злоумышленникам требовалось взять под контроль поддомены сервера аутентификации teams.microsoft.com и отправить вредоносный GIF-файл.3DNews
Проблема заключалась в особенностях процесса обработки токенов аутентификации для просмотра изображений в Teams.3DNews
Злоумышленникам требовалось заставить жертву посетить один из подконтрольных поддоменов, чтобы осуществить перехват токенов аутентификации.3DNews