Злоупотребление эмоджи приводит к сбою Skype для бизнеса

Эксперты SEC раскрыли брешь корпоративного мессенджера от Microsoft, которую можно использовать для DoS-атак. Если отправить пользователю Skype для бизнеса серию сообщений с несколькими сотнями эмоджи, программа начинает работать все медленнее, пока вовсе не выдает критическую ошибку.

Уязвимость, получившая идентификатор CVE-2018-8546, была закрыта в рамках очередного пакета обновлений Microsoft. Авторы PoC назвали атаку Kitten of Doom (рус. роковой котенок) в честь эмоджи, который они использовали для демонстрации эксплойта. Фактически он представляет собой текстовую бомбу — критический баг ПО, связанный с ошибками в обработке специфических символов.

По словам экспертов, для реализации атаки злоумышленнику достаточно открыть чат с пользователем и отправлять ему любые смайлы из набора Skype для бизнеса. Проблемы начинаются, когда в окне сообщений оказывается 100 эмоджи. На отметке в 800 идеограмм в работе мессенджера возникает сбой. Если собеседник продолжает отправку, программа повисает.

Брешь присутствует в Skype для бизнеса 2016 MSO (16.0.93).64-Bit и его предшественнике Lync 2013 (15.0)  64-Bit. В обоих случаях уязвимыми остаются и старшие версии продуктов. Отмечается, что проблема не коснулась функций аудио- и видеосвязи.

Эксперты подчеркивают, что хотя такая атака не приведет к утечкам данных и прочим серьезным рискам, она все равно может угрожать многим компаниям, которые используют Skype в повседневной деятельности. По информации специалистов, еще в 2012 году с Microsoft Lync работали 90% корпораций из списка Fortune-100.

По последним данным, к концу 2018 года число сотрудников в крупных колл-центрах, центрах техподдержки и прочих подобных структурах, оказывающих удаленные услуги, превысит 100 млн. Авторы отчета указывают, что Microsoft быстро оценила вредоносный потенциал уязвимости, и призывают пользователей не медлить с обновлением.

«Сколько может стоить простой департамента продаж из-за DoS-атаки? Как быстро ИТ-служба сможет восстановить его работоспособность и как это повлияет на вашу продуктивность?» — задумываются они.

На тот случай, если в ближайшее время установить патч не представляется возможным, специалисты предлагают временные меры предосторожности. Для этого можно отключить использование эмоджи в Skype для бизнеса и ограничить прием сообщений списком утвержденных контактов. Если какой-либо пользователь присылает слишком много смайлов, будь то из вредоносных или хулиганских побуждений, его можно заблокировать.

Ранее от текстовых бомб пострадали пользователи PlayStation 4 и WhatsApp, владельцы iOS-устройств. Причина всех подобных багов в программных ошибках, поэтому их удается устранять простым обновлением.

Источник: https://threatpost.ru/emoji-text-bombed-skype-for-business-users/29284/