- Bezpečnostní výzkumníci sdílejí novinky o oblíbené konferenční aplikaci společnosti Microsoft.
- Zdá se, že Teams stále sužují čtyři zranitelnosti, které umožňují útočníkům infiltrovat.
- Dvě z nich lze použít umožňující padělání požadavků na straně serveru (SSRF) a spoofing.
- Další dva se týkají pouze smartphonů Android a lze je zneužít k úniku IP adres.
Nedávno jsme mluvili o Teams a podávali zprávy o tom, jak možná nebudete moci vytvářet nové bezplatné účty organizacea nejlepší konferenční aplikace společnosti Microsoft je již zpět v centru pozornosti.
A přestože se cítíme lépe, když musíme hlásit opravy a vylepšení nebo nové funkce přicházející do Teams, musíme vás také informovat o tomto bezpečnostním riziku.
Bezpečnostní výzkumníci zjevně objevili v Teams čtyři samostatné zranitelnosti, které by mohly být zneužívány k falšování náhledů odkazů, úniku IP adres a dokonce k přístupu k interním informacím společnosti Microsoft služby.
Ve volné přírodě jsou stále využívány čtyři hlavní zranitelnosti
Odborníci z Positive Security na tyto zranitelnosti narazili, když hledali způsob, jak obejít zásady stejného původu (SOP) v Teams a Electron. blogový příspěvek.
Pro případ, že tento termín neznáte, SOP je bezpečnostní mechanismus nalezený v prohlížečích, který pomáhá zabránit webovým stránkám před vzájemným útokem.
Při zkoumání této citlivé záležitosti vědci zjistili, že by mohli obejít SOP v Teams zneužitím funkce náhledu odkazů aplikace.
Toho bylo ve skutečnosti dosaženo tím, že bylo klientovi umožněno vygenerovat náhled odkazu pro cílovou stránku a poté extrahování pomocí souhrnného textu nebo optického rozpoznávání znaků (OCR) v náhledu obrazu informace.
Spoluzakladatel Positive Security Fabian Bräunlein při tom také objevil další nesouvisející zranitelnosti v implementaci funkce.
Dvě ze čtyř ošklivých chyb nalezených v Microsoft Teams lze použít na jakémkoli zařízení a umožňují padělání požadavků na straně serveru (SSRF) a spoofing.
Další dva se týkají pouze smartphonů Android a lze je zneužít k úniku IP adres a dosažení Denial of Service (DOS).
Je samozřejmé, že díky využití zranitelnosti SSRF byli výzkumníci schopni uniknout informace z místní sítě Microsoftu.
Spoofing bug lze zároveň využít ke zlepšení účinnosti phishingových útoků nebo ke skrytí škodlivých odkazů.
Nejznepokojivější z nich by rozhodně měla být chyba DOSu, protože útočník může poslat uživateli a zprávu, která obsahuje náhled odkazu s neplatným cílem odkazu náhledu, pro který se má aplikace Teams zřítit Android.
Bohužel aplikace bude nadále padat, když se pokusíte otevřít chat nebo kanál se škodlivou zprávou.
Positive Security ve skutečnosti informoval Microsoft o svých zjištěních 10. března prostřednictvím svého programu odměn za chyby. Od té doby technický gigant pouze opravoval zranitelnost úniku IP adresy v Teams pro Android.
Ale nyní, když jsou tyto znepokojivé informace veřejné a důsledky těchto zranitelností jsou docela jasné, bude muset Microsoft zrychlit hru a přijít s několika rychlými a účinnými opravami.
Zaznamenali jste při používání Teams nějaké problémy se zabezpečením? Podělte se s námi o své zkušenosti v sekci komentářů níže.
