表情符号可触发Skype的DoS漏洞

表情符号可触发Skype的DoS漏洞

当今社会,沟通比以往任何时候都显得更重要。随着数字时代的到来,公司开始受益于生产力的显著提升以及增强客户体验的成本降低。但是,如果有人知道你的密码怎么办?如果你想开一个重要的视频会议,但由于某些漏洞无法进行该怎么办?

几个月前,SEC漏洞咨询实验室在Skype for Business和Lync 2013中发现了拒绝服务(DoS)漏洞。即,如果发送一定数量的表情符号,就可以强制收件人的Skype for Business客户端停止工作。研究表明,2015年年初就发生过类似的问题。那时候,多个动画表情符号会导致客户端的CPU使用率达到顶峰。该问题仅在一个补丁周期内得到解决,这速度对于当今的大型软件开发公司来说非常快。

威胁评估

如今客户服务需求比以往任何时候都要高,跨国公司需要在全球范围内开展业务,Lync和Skype for Business等工具对于提高销售额至关重要。2012年2月(很久以前就是这样),90%的财富100强企业和70%的财富500强企业就在使用Microsoft Lync,也称为Skype for Business。到2018年底,所有呼叫中心工作人员、支持人员和远程团队预计将超过1亿个。

SKYPE FOR BUSINESS中的DOS攻击如何工作?

(恶意)发件人邀请您加入会议或通过Skype与您联系并向您发送大量的表情符号,例如小猫。根据小猫表情符号的数量,您可能会注意到应用程序的短暂延迟(从100个表情符号开始)。

当您大约收到800只小猫时,您的Skype for Business客户端将停止响应几秒钟。如果发件人继续发送表情符号,则在攻击结束之前,您的Skype for Business客户端将无法使用。

表情符号可触发Skype的DoS漏洞

表情符号可触发Skype的DoS漏洞

风险评估

在向Skype for Business聊天发送大量表情符号(约800只小猫)后,程序会在渲染聊天窗口时冻结几秒钟。连续发送表情符号将使用户无法使用GUI,正在进行的电话会议不受影响,也不会被中断。检查您及您的客户是否是其中之一:

Skype for Business 2016 MSO (16.0.93).64位或之前

Lync 2013 (15.0) 64位

Microsoft Office Professional Plus 2013或以前版本

在Windows上运行

攻击媒介也很简单:恶意发件人只能邀请目标受害者加入会议,或者通过Skype直接联系某人。

乍一看,这次攻击更像是恶作剧。DoS状态毕竟不是持久的,要想维持这一状态攻击者就要持续发送小猫或其它表情包。但是这仅影响聊天功能,Skype for Business中的音频和视频功能由一个单独的不易受攻击的线程处理。

但是,正如SEC漏洞咨询实验室所指出的那样,Lync和Skype for Business等已是公司运作必不可少的工具。攻击动机可能包括竞争性的肮脏交易(例如,竞争对手公司可能会带走客户),以及公司内部斗争(例如,降低竞争对手部门的生产力)。

微软在本周的Patch Tuesday更新中发布了针对CVE-2018-8546的补丁。对于那些没有选择修补系统的人,解决方法如下:

阻止恶意发件人;

在Skype for Business客户端中禁用表情符号(工具->选项->IM->在消息中显示表情符号);

在Skype for Business设置中设置适当的隐私选项,因此只有联系人列表中的人才能向您发送消息。如果您的联系人列表中某人的Skype for Business帐户被黑客入侵(例如由于密码较弱),则不适用。

注意:一旦攻击开始,您就无法执行上述任何措施,因为无法进入联系人列表或应用程序设置。因此,此解决方法实际上仅适用于预防性解决方案。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132625.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code