Microsoft Teamsにゼロクリックのリモートコード実行脆弱性、詳細を公開

Microsoft Teamsにゼロクリックのリモートコード実行の脆弱性が存在していたことが明らかになった。問題はすでに修正済みだが、この脆弱性が悪用されていた場合はユーザーが気付くことなくさまざまな攻撃を受けていた可能性がある。

[後藤大地，有限会社オングス]

　Microsoft Teamsにゼロクリックのリモートコード実行（RCE）脆弱（ぜいじゃく）性が存在していたことが明らかになった。この脆弱性はゲーム会社「Evolution Gaming」のOskars Vegeris氏が2020年8月末にMicrosoftに報告していたものだ。2020年10月末にすでに修正されている。

Spoofing - zero-click, wormable, cross-platform remote code execution in Microsoft Teams,Important, Spoofing - zero-click, wormable, cross-platform remote code execution in Microsoft Teams

　GiHubのドキュメントによるとVegeris氏がMicrosoftに報告したRCEのバグはこれを含め5つあったとしており、自動更新される製品だったためCVE（Common Vulnerabilities and Exposures、共通脆弱性識別子）は発行されていないという。

該当するアプリケーションのバージョンは

　脆弱性が存在するとされる製品およびバージョンは次の通りだ。

セキュリティ記事ランキング

• 本日
• 週間
• 半月
• 月間

1. 多要素認証を回避する攻撃を確認、CISAが報告
2. 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
3. 「ゼロトラストセキュリティ」ってどこから始めればいいの？　最初に押さえたい“基本のき”を解説
4. VPNの利用者は増加も過半数が採用見送り、その理由は
5. わずか10カ月で220億件を超えるデータ漏えいインシデント発生も、要因は？

1. 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
2. VPNの利用者は増加も過半数が採用見送り、その理由は
3. セキュリティ担当者はつらいよ　組織間で発生するギャップにどう立ち向かうか
4. SolarWindsのビルド中にSunburstを混入させた手口の詳細が明らかに
5. 多要素認証を回避する攻撃を確認、CISAが報告

1. 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
2. VPNの利用者は増加も過半数が採用見送り、その理由は
3. Googleの最新「reCAPTCHA v3」も突破する方法が発見される
4. 2021年にもう一度“トラスト”を考え直す　「無条件に信頼しない」3つのポイント
5. 約6500人が感染、1年間秘密裏に動き続けたRAT「ElectroRAT」

1. 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
2. VPNの利用者は増加も過半数が採用見送り、その理由は
3. WordPressの人気プラグインに脆弱性、バックドアを仕込まれるおそれも
4. 「SolarWinds問題」はより大きな脅威の一端か、当局から新しい警告
5. 2020年のセキュリティニュースを振り返る　標的型ランサムウェアはまだまだ健在か