Эксперты SEC раскрыли брешь корпоративного мессенджера Microsoft, которую можно использовать для DoS-атак. Если отправить пользователю Skype для бизнеса серию сообщений с несколькими сотнями эмоджи, программа начинает работать все медленнее, пока вовсе не выдает критическую ошибку.

Уязвимость, получившая идентификатор CVE-2018-8546, была закрыта в рамках очередного пакета обновлений Microsoft. Авторы PoC назвали атаку Kitten of Doom (рус. роковой котенок) в честь эмоджи, который они использовали для демонстрации бага. Фактически он представляет собой текстовую бомбу — критический сбой ПО, связанный с ошибками в обработке специфических символов.

По словам экспертов, для реализации атаки злоумышленнику достаточно открыть чат с пользователем и отправлять ему любые смайлы из набора Skype для бизнеса. Проблемы начинаются, когда в окне сообщений оказывается 100 эмоджи. На отметке в 800 идеограмм в работе мессенджера возникает сбой. Если собеседник продолжает отправку, программа повисает.

Брешь присутствует в 64-битном клиенте Skype для бизнеса 2016 (16.0.93 ) и его предшественнике Lync 2013 (15.0). В обоих случаях уязвимыми остаются и старшие версии продуктов. Отмечается, что проблема не коснулась функций аудио- и видеосвязи.

Эксперты подчеркивают, что атака не приведет к утечкам данных. Исследователи указывают, что хотя уязвимость не несет серьезной угрозы для информационной безопасности компаний, Microsoft быстро оценила ее вредоносный потенциал, и призывают пользователей не медлить с обновлением.

«Сколько может стоить простой департамента продаж из-за DoS-атаки? Как быстро ИТ-служба сможет восстановить его работоспособность и как это повлияет на вашу продуктивность?» — задумываются авторы отчета.

На тот случай, если в ближайшее время установить патч не представляется возможным, специалисты предлагают временные меры предосторожности. Для этого можно отключить использование эмоджи в Skype для бизнеса и ограничить прием сообщений списком утвержденных контактов. Если какой-либо пользователь присылает слишком много смайлов, будь то из вредоносных или хулиганских побуждений, его можно заблокировать.

Ранее от текстовых бомб пострадали пользователи PlayStation 4 и WhatsApp, владельцы iOS-устройств. Причина подобных багов в программных ошибках, поэтому их удается устранять простым обновлением.

Категории: Уязвимости