7 月 6 日消息，Microsoft Teams 近日被曝存在漏洞，允许攻击者绕过文件发送限制，向用户分发恶意软件。

美国海军安全团队结合此前曝光的 Microsoft Teams 应用漏洞，使用 Python 编写了 TeamsPhisher 工具，可以自动自行恶意软件分发操作。

该漏洞主要原理是 Teams 依赖客户端保护，而攻击者可以通过更改 POST 请求中的 ID，欺骗保护系统。

该工具的工作原理是获取附件、消息和目标 Teams 用户列表。然后，它将附件上传到发件人的 SharePoint，并将带有 SharePoint 附件链接的消息发送到每个目标。

关键词：