모든 사람에게 파일 열람 권한 주는 취약점, 패치는 아직

요약 : 보안 외신 블리핑컴퓨터에 의하면 마이크로소프트 팀즈의 취약점을 익스플로잇 하는 새로운 도구가 개발됐다고 한다. 이 도구의 이름은 팀즈피셔(TeamsPhisher)이고, 파일 열람에 필요한 권한 설정을 무시할 수 있게 해준다. 그러므로 팀즈 환경에서 교류되는 정보를 외부에서 마음대로 볼 수 있게 되는 것이다. 팀즈피셔는 파이선 기반 도구로, 모든 공격을 자동으로 진행한다. 다행히 미국 해군의 보안 전문가들이 먼저 개발했기 때문에 당장 팀즈피셔가 실제 공격에 사용되지는 않을 것으로 보인다.


배경 : 지난 달 영국의 보안 업체 점프섹(Jumpsec)이 팀즈에 문제가 있다고 발표한 바 있다. 팀즈의 파일 전송 및 공유 기능에 걸려 있는 제한을 간단히 풀 수 있게 해 주는 문제라고 했었다. 이 소식을 미국 해군의 전문가들이 접하고 공격 도구를 만든 것이라고 한다.

말말말 : “MS는 해당 취약점이 시급한 처리를 요할 정도로 중대하지 않다고 판단했기 때문에 아직 패치가 나오지 않은 상황입니다.” -점프섹-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>