Vulnerabilidades no Microsoft Teams e Office no macOS podem resultar em roubo de dados

Vulnerabilidades no Microsoft Teams e Office no macOS podem resultar em roubo de dados

Um relatório da Cisco Talos identificou diversas falhas de segurança em aplicativos da Microsoft para macOS. Vários dos serviços populares da empresa foram considerados vulneráveis, apresentando brechas que, no pior cenário, permitem que cibercriminosos adquiram privilégios elevados.

Segundo o estudo, ferramentas como Microsoft Teams, OneDrive, Outlook, OneNote, Excel e Word estão suscetíveis a invasões. Na prática, essas vulnerabilidades poderiam ser exploradas para contornar permissões de segurança, concedendo privilégios que comprometem a segurança do usuário.

No total, foram identificadas oito vulnerabilidades distintas no macOS, classificadas conforme o aplicativo ou ferramenta que apresenta a falha:

  • CVE-2024-42220 — Outlook
  • CVE-2024-42004 — Teams
  • CVE-2024-39804 — PowerPoint
  • CVE-2024-41159 — OneNote
  • CVE-2024-43106 — Excel
  • CVE-2024-41165 — Word
  • CVE-2024-41145 — Webview.app do Teams
  • CVE-2024-41138 — modulehost.app do Teams

Essas vulnerabilidades são exploradas por meio da injeção de bibliotecas não autorizadas durante a execução desses programas. Elas aproveitam falhas no framework Transparency, Consent and Control (TCC), que gerencia várias permissões de segurança dos aplicativos da Microsoft.

As consequências dessas falhas variam desde o roubo de dados até a concessão de permissões para uso do microfone e da webcam, possibilitando a espionagem das atividades da vítima ou a obtenção de informações confidenciais da empresa, por exemplo.

Em resposta, a Microsoft lançou atualizações para os aplicativos Teams e OneNote no macOS, corrigindo as falhas identificadas no relatório. No entanto, a empresa minimizou a gravidade e a urgência dessas vulnerabilidades, e as demais brechas permanecem sem correção até o momento.

De acordo com a Microsoft, os ataques exigiriam o uso de bibliotecas não oficiais em plugins de terceiros, algo considerado incomum nesses serviços. A Apple, que também poderia atualizar o framework envolvido, ainda não se pronunciou sobre o assunto.

Link do estudo completo: https://blog.talosintelligence.com/how-multiple-vulnerabilities-in-microsoft-apps-for-macos-pave-the-way-to-stealing-permissions/

araguaiatec

Brasileiro é apontado como líder de grupo hacker responsável por roubo de bilhões de dados nos EUA

Brasileiro é apontado como líder de grupo hacker responsável por roubo de bilhões de dados nos EUA

OpenAI inicia testes do modo avançado de voz do ChatGPT

OpenAI inicia testes do modo avançado de voz do ChatGPT

Apple adia lançamento da plataforma Apple Intelligence

Apple adia lançamento da plataforma Apple Intelligence

Impacto Global: Erro da CrowdStrike Supera WannaCry

Impacto Global: Erro da CrowdStrike Supera WannaCry

Google Wallet poderá armazenar diversos tipos de documentos

Google Wallet poderá armazenar diversos tipos de documentos

Veja novos planos do Meli+ e Disney+ após atualização. Veja as novas vantagens e valores

Veja novos planos do Meli+ e Disney+ após atualização. Veja as novas vantagens e valores

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *