- Biztonsági kutatók a Microsoft népszerű konferenciaalkalmazásával kapcsolatos híreket osztanak meg.
- Úgy tűnik, a Teamst továbbra is négy sebezhetőség sújtja, amelyek lehetővé teszik a támadók beszivárgását.
- Ezek közül kettő használható hogy lehetővé tegye a szerveroldali kéréshamisítást (SSRF) és a hamisítást.
- A másik kettő csak az Android okostelefonokat érinti, és kihasználható IP-címek kiszivárogtatására.
A minap épp a Teamsről beszélgettünk, beszámoltunk arról, hogyan előfordulhat, hogy nem tud új ingyenes szervezeti fiókokat létrehozni, és a Microsoft legjobb konferencia-alkalmazása máris ismét reflektorfénybe került.
És bár jobban érezzük magunkat, amikor be kell jelentenünk a javításokat és fejlesztéseket, vagy a Teamshez érkező új funkciókat, erről a biztonsági kockázatról is tájékoztatnunk kell Önt.
Úgy tűnik, a biztonsági kutatók négy különálló sebezhetőséget fedeztek fel a Teamsben, ez lehet kihasználják a linkelőnézetek meghamisítására, az IP-címek kiszivárogtatására, és még a Microsoft belső adatainak elérésére is. szolgáltatások.
Négy fő sebezhetőséget még mindig kihasználnak a vadonban
Egy közlemény szerint a Positive Security szakértői ezekre a biztonsági résekre bukkantak, miközben módot kerestek a Teams és az Electron SOP (Same-Origin Policy) megkerülésére. blog bejegyzés.
Abban az esetben, ha nem ismeri a kifejezést, az SOP a böngészőkben található biztonsági mechanizmus, amely segít megakadályozni, hogy a webhelyek megtámadják egymást.
Ennek az érzékeny kérdésnek a vizsgálata során a kutatók azt találták, hogy megkerülhetik a SOP-t a Teamsben, ha visszaélnek az alkalmazás linkelőnézeti funkciójával.
Ezt tulajdonképpen úgy sikerült elérni, hogy lehetővé tették az ügyfél számára, hogy létrehozzon egy linkelőnézetet a céloldalhoz, majd ezt követően Összefoglaló szöveg vagy optikai karakterfelismerés (OCR) használatával az előnézeti képen a kibontáshoz információ.
Ezenkívül Fabian Bräunlein, a Positive Security társalapítója ennek során más, egymással nem összefüggő sebezhetőséget is felfedezett a funkció megvalósításában.
A Microsoft Teamsben talált négy csúnya hiba közül kettő bármely eszközön használható, és lehetővé teszi a szerveroldali kéréshamisítást (SSRF) és a hamisítást.
A másik kettő csak az Android okostelefonokat érinti, és kihasználható IP-címek kiszivárogtatására és szolgáltatásmegtagadás (DOS) elérésére.
Magától értetődik, hogy az SSRF sebezhetőségét kihasználva a kutatók információkat tudtak kiszivárogtatni a Microsoft helyi hálózatából.
Ugyanakkor a hamisítási program felhasználható az adathalász támadások hatékonyságának javítására vagy a rosszindulatú hivatkozások elrejtésére.
A legaggasztóbb ezek közül mindenképpen a DOS-hiba, mivel a támadó elküldheti a felhasználónak a üzenet, amely egy linkelőnézetet tartalmaz érvénytelen előnézeti hivatkozási céllal, amelyhez a Teams alkalmazás összeomlik Android.
Sajnos az alkalmazás továbbra is összeomlik, amikor megpróbálja megnyitni a csevegést vagy a csatornát a rosszindulatú üzenettel.
A Positive Security valójában március 10-én tájékoztatta a Microsoftot az eredményekről a hibajavító programon keresztül. Azóta a technológiai óriás csak az IP-cím kiszivárogtatásával kapcsolatos sebezhetőséget javította ki a Teams for Androidban.
De most, hogy ez a zavarba ejtő információ nyilvános, és ezeknek a sebezhetőségeknek a következményei meglehetősen egyértelműek, a Microsoftnak fokoznia kell a játékát, és néhány gyors, hatékony javítást kell kidolgoznia.
Tapasztalt valamilyen biztonsági problémát a Teams használata közben? Ossza meg velünk tapasztalatait az alábbi megjegyzések részben.
