Ένα μέλος της κόκκινης ομάδας του Ναυτικού των ΗΠΑ δημοσίευσε ένα εργαλείο που ονομάζεται TeamsPhisher που αξιοποιεί ένα ανεπίλυτο ζήτημα ασφαλείας στο Microsoft Teams για να παρακάμψει τους περιορισμούς για εισερχόμενα αρχεία από χρήστες εκτός ενός στοχευμένου οργανισμού, τους λεγόμενους εξωτερικούς μισθωτές.
Το εργαλείο εκμεταλλεύεται ένα πρόβλημα που επισημάνθηκε τον περασμένο μήνα από τον Max Corbridge και τον Tom Ellson της εταιρείας υπηρεσιών ασφαλείας Jumpsec με έδρα το Ηνωμένο Βασίλειο, οι οποίοι εξήγησαν πώς ένας εισβολέας θα μπορούσε εύκολα να παρακάμψει τους περιορισμούς αποστολής αρχείων του Microsoft Teams για να παραδώσει κακόβουλο λογισμικό από έναν εξωτερικό λογαριασμό.
Το κατόρθωμα είναι δυνατό επειδή η εφαρμογή διαθέτει προστασίες από την πλευρά του πελάτη που μπορούν να εξαπατηθούν ώστε να αντιμετωπίζεται ένας εξωτερικός χρήστης ως εσωτερικός απλώς αλλάζοντας το αναγνωριστικό στο αίτημα POST ενός μηνύματος.
