- Sikkerhedsforskere deler nyheder om Microsofts populære konferenceapp.
- Tilsyneladende er Teams stadig plaget af fire sårbarheder, der tillader angribere at infiltrere.
- To af dem kan bruges for at tillade server-side request forgery (SSRF) og spoofing.
- De to andre påvirker kun Android-smartphones og kan udnyttes til at lække IP-adresser.
Vi talte lige om Teams den anden dag og rapporterede om hvordan du kan muligvis ikke oprette nye gratis organisationskonti, og Microsofts bedste konferenceapp er allerede tilbage i søgelyset.
Og selvom vi har det bedre, når vi skal rapportere rettelser og forbedringer, eller nye funktioner, der kommer til Teams, er vi også nødt til at fortælle dig om denne sikkerhedsrisiko.
Tilsyneladende har sikkerhedsforskere opdaget fire separate sårbarheder i Teams, det kunne være udnyttet til at forfalske linkforhåndsvisninger, lække IP-adresser og endda få adgang til Microsofts interne tjenester.
Fire store sårbarheder bliver stadig udnyttet i naturen
Eksperter fra Positive Security faldt over disse sårbarheder, mens de ledte efter en måde at omgå Same-Origin Policy (SOP) i Teams og Electron, ifølge en
blogindlæg.Bare hvis du ikke er bekendt med udtrykket, er SOP en sikkerhedsmekanisme, der findes i browsere, der hjælper med at forhindre websteder i at angribe hinanden.
Mens de undersøgte denne følsomme sag, fandt forskerne ud af, at de kunne omgå SOP'en i Teams ved at misbruge appens link preview-funktion.
Dette blev faktisk opnået ved at give klienten mulighed for at generere et link-forhåndsvisning til målsiden og derefter ved at bruge enten resumétekst eller optisk tegngenkendelse (OCR) på forhåndsvisningsbilledet for at udtrække Information.
Mens han gjorde dette, opdagede medstifter af Positive Security Fabian Bräunlein også andre ikke-relaterede sårbarheder i funktionens implementering.
To af de fire grimme fejl fundet i Microsoft Teams kan bruges på enhver enhed og giver mulighed for server-side request forgery (SSRF) og spoofing.
De to andre påvirker kun Android-smartphones og kan udnyttes til at lække IP-adresser og opnå Denial of Service (DOS).
Det siger sig selv, at forskere ved at udnytte SSRF-sårbarheden var i stand til at lække information fra Microsofts lokale netværk.
Samtidig kan spoofing-fejlen bruges til at forbedre effektiviteten af phishing-angreb eller til at skjule ondsindede links.
Den mest bekymrende af dem alle burde absolut være DOS-fejlen, da en angriber kan sende en bruger en meddelelse, der indeholder et linkeksempel med et ugyldigt forhåndsvisningslinkmål at nedbryde Teams-appen for Android.
Desværre vil appen fortsætte med at gå ned, når du forsøger at åbne chatten eller kanalen med den ondsindede besked.
Positive Security informerede faktisk Microsoft om sine resultater den 10. marts gennem sit bug bounty-program. Siden da har tech-giganten kun rettet IP-adresselækage-sårbarheden i Teams til Android.
Men nu hvor denne foruroligende information er offentlig, og konsekvenserne af disse sårbarheder er ret klare, bliver Microsoft nødt til at optrappe sit spil og komme med nogle hurtige, effektive rettelser.
Har du oplevet nogen sikkerhedsproblemer, mens du brugte Teams? Del din oplevelse med os i kommentarfeltet nedenfor.
