___

В инфосек сообществе, похоже, рождается новый мем - Important, Spoofing. Это, если что, один из самых низких уровней градации уязвимостей в программе Microsoft Bug Bounty. И таким образом они отметили критическую уязвимость в корпоративной платформе Microsoft Teams, эксплуатация которой приводила к удаленному выполнению кода (RCE) и, в итоге, к потенциальной компрометации корпоративной сети жертвы. Уязвимость была обнаружена исследователем Оскарсом Вегерисом еще в августе и в конце месяца о ней была уведомлена Microsoft . Через месяц ошибка была оценена как "Important, Spoofing", а в конце октября она была пофиксена в очередном обновлении. При этом Microsoft отказалась назначать CVE , ссылаясь на свои политики и поскольку "Important, Spoofing". Сразу скажем, что эта уязвимость должна была быть отмечена как "Критическая", поскольку позволяла злоумышленнику осуществить RCE просто направив жертве специальным образом сформированное сообщение в Microsoft Teams , выглядящее абсолютно легальным. Достаточно было просмотреть сообщение, чтобы скомпрометированными оказались корпоративная сеть, личные документы и документы Office 365, закрытые чаты и пр. Более того, если это сообщение репостилось в каком-либо корпоративном канале, то все его участники также становились подвержены эксплойту. Самый натуральный червь. Уязвимыми были приложения Microsoft Teams практически на всех платформах - Windows, Linux, iOS. Так что теперь, с подачи Microsoft , мы знаем как называть критическую уязвимость, приводящую к RCE - "Important, Spoofing".