- Los investigadores de seguridad comparten noticias preocupantes sobre la popular aplicación de conferencias de Microsoft.
- Aparentemente, Teams todavía está plagado de cuatro vulnerabilidades que permiten a los atacantes infiltrarse.
- Se pueden usar dos de ellos para permitir la falsificación de solicitudes del lado del servidor (SSRF) y suplantación.
- Los otros dos solo afectan a los teléfonos inteligentes Android y pueden explotarse para filtrar direcciones IP.
El otro día estábamos hablando de Teams, informando sobre cómo es posible que no pueda crear nuevas cuentas de organización gratuitas, y la principal aplicación de conferencias de Microsoft ya está de vuelta en el centro de atención.
Y aunque nos sentimos mejor cuando tenemos que informar correcciones y mejoras, o nuevas características que llegan a Teams, también tenemos que informarle sobre este riesgo de seguridad.
Aparentemente, los investigadores de seguridad han descubierto cuatro vulnerabilidades separadas dentro de Teams, que podrían ser explotado para falsificar las vistas previas de enlaces, filtrar direcciones IP e incluso acceder a los servicios.
Todavía se están explotando cuatro vulnerabilidades importantes en la naturaleza
Los expertos de Positive Security tropezaron con estas vulnerabilidades mientras buscaban una manera de eludir la Política del mismo origen (SOP) en Teams y Electron, según un entrada en el blog.
En caso de que no esté familiarizado con el término, SOP es un mecanismo de seguridad que se encuentra en los navegadores y que ayuda a evitar que los sitios web se ataquen entre sí.
Mientras investigaban este asunto delicado, los investigadores descubrieron que podían omitir el SOP en Teams abusando de la función de vista previa del enlace de la aplicación.
En realidad, esto se logró al permitir que el cliente generara una vista previa del enlace para la página de destino y luego utilizando texto de resumen o reconocimiento óptico de caracteres (OCR) en la imagen de vista previa para extraer información.
Además, mientras hacía esto, el cofundador de Positive Security, Fabian Bräunlein, también descubrió otras vulnerabilidades no relacionadas en la implementación de la función.
Dos de los cuatro errores desagradables que se encuentran en Microsoft Teams se pueden usar en cualquier dispositivo y permiten la falsificación de solicitudes del lado del servidor (SSRF) y la suplantación.
Los otros dos solo afectan a los teléfonos inteligentes Android y pueden explotarse para filtrar direcciones IP y lograr la denegación de servicio (DOS).
No hace falta decir que, al explotar la vulnerabilidad SSRF, los investigadores pudieron filtrar información de la red local de Microsoft.
Al mismo tiempo, el error de suplantación de identidad se puede utilizar para mejorar la eficacia de los ataques de phishing o para ocultar enlaces maliciosos.
El más preocupante de todos ellos debería ser definitivamente el error de DOS, ya que un atacante puede enviar a un usuario un mensaje que incluye una vista previa del enlace con un destino de enlace de vista previa no válido para bloquear la aplicación Teams para Androide.
Desafortunadamente, la aplicación seguirá fallando al intentar abrir el chat o canal con el mensaje malicioso.
De hecho, Positive Security informó a Microsoft de sus hallazgos el 10 de marzo a través de su programa de recompensas por errores. Desde entonces, el gigante tecnológico solo ha parcheado la vulnerabilidad de fuga de direcciones IP en Teams para Android.
Pero ahora que esta información desconcertante es pública y las consecuencias de estas vulnerabilidades son bastante claras, Microsoft tendrá que intensificar su juego y encontrar algunas soluciones rápidas y efectivas.
¿Ha experimentado algún problema de seguridad al usar Teams? Comparta su experiencia con nosotros en la sección de comentarios a continuación.
