安全研究员Oskars Vegeris已发布有关Microsoft Teams中可蠕虫，跨平台漏洞的文档，该漏洞可能允许无形的恶意黑客攻击。

Evolution Gaming的安全工程师Vegeris警告说，“ teams.microsoft.com”域中的一个新颖的跨站点脚本（XSS）漏洞可能被滥用以触发Microsoft Teams桌面应用程序中的远程执行代码漏洞。

Microsoft Teams与Slack和Zoom等公司在企业领域竞争，它每天有大约1.15亿活跃用户，并且已广泛部署为Microsoft Office 365系列产品的一部分。Teams是一个专有的业务通信平台，可为用户提供工作区聊天，文件存储和共享，应用程序集成以及视频会议功能。

根据Vegeris发布的公告，攻击者只需要向任何Teams用户或渠道发送特制消息，即可启动成功的漏洞利用程序，该漏洞利用程序在后台静默运行，而用户不会注意到任何事情。

“在所有受支持的平台（Windows，macOS，Linux）的桌面应用程序中已经实现了远程代码执行。代码执行使攻击者可以通过这些设备完全访问受害设备和公司内部网络，” Vegeris 警告说。

他说，攻击者可能滥用XSS漏洞来获取Teams或其他Microsoft服务的SSO授权令牌，或者从通信服务访问机密对话和文件。

最重要的是，该漏洞是可蠕虫病毒，允许成功的攻击者自动将利用有效载荷发送给其他用户/渠道，也无需交互。

成功利用此漏洞可能使团队外部的私钥和个人数据得到访问，从而可能泄漏内部网络信息，并使攻击者能够设置为进行网络钓鱼攻击。

Vegeris解释说，只有将teams.microsoft.com中的XSS（在用户“提及”功能中）与适用于Teams桌面客户端的新颖跨平台漏洞相链接时，才能实现远程代码执行。

该安全研究人员提供了有关该漏洞的技术详细信息，并提供了有关如何利用该漏洞的演示，他声称微软对漏洞的严重性轻描淡写，将“重要”评级定为“欺骗”风险。

他说，微软将Teams桌面客户端“排除在范围之外”，并告诉研究人员不会为该漏洞发布CVE编号，因为微软团队中的漏洞是通过自动更新修复的。

受影响的产品包括适用于macOS v 1.3.00.23764，Windows v 1.3.00.21759和Linux v 1.3.00.16851的Microsoft Teams。该公司已经解决了该漏洞。