7 月 6 日消息，Microsoft Teams 近日被曝存在漏洞，允許攻擊者繞過(guò)文件發(fā)送限制，向用戶(hù)分發(fā)惡意軟件。

美國海軍安全團隊結合此前曝光的 Microsoft Teams 應用漏洞，使用 Python 編寫(xiě)了 TeamsPhisher 工具，可以自動(dòng)自行惡意軟件分發(fā)操作。

該漏洞主要原理是 Teams 依賴(lài)客戶(hù)端保護，而攻擊者可以通過(guò)更改 POST 請求中的 ID，欺騙保護系統。

該工具的工作原理是獲取附件、消息和目標 Teams 用戶(hù)列表。然后，它將附件上傳到發(fā)件人的 SharePoint，并將帶有 SharePoint 附件鏈接的消息發(fā)送到每個(gè)目標。

關(guān)鍵詞：