- Peneliti keamanan berbagi tentang berita tentang aplikasi konferensi populer Microsoft.
- Rupanya, Tim masih diganggu oleh empat kerentanan yang memungkinkan penyerang menyusup.
- Dua di antaranya dapat digunakan untuk memungkinkan pemalsuan permintaan sisi server (SSRF) dan spoofing.
- Dua lainnya hanya mempengaruhi smartphone Android dan dapat dimanfaatkan untuk membocorkan alamat IP.
Kami baru saja berbicara tentang Tim beberapa hari yang lalu, melaporkan bagaimana Anda mungkin tidak dapat membuat akun organisasi gratis baru, dan aplikasi konferensi teratas Microsoft sudah kembali menjadi sorotan.
Dan meskipun kami merasa lebih baik ketika kami harus melaporkan perbaikan dan peningkatan, atau fitur baru datang ke Teams, kami juga harus memberi tahu Anda tentang risiko keamanan ini.
Rupanya, peneliti keamanan telah menemukan empat kerentanan terpisah di dalam Teams, yang mungkin saja dieksploitasi untuk memalsukan pratinjau tautan, membocorkan alamat IP, dan bahkan mengakses internal Microsoft jasa.
Empat kerentanan utama masih dieksploitasi di alam liar
Para ahli dari Positive Security menemukan kerentanan ini sambil mencari cara untuk melewati Kebijakan Asal yang Sama (SOP) di Teams dan Electron, menurut sebuah posting blog.
Untuk berjaga-jaga jika Anda tidak terbiasa dengan istilah tersebut, SOP adalah mekanisme keamanan yang ditemukan di browser yang membantu menghentikan situs web agar tidak saling menyerang.
Saat menyelidiki masalah sensitif ini, para peneliti menemukan bahwa mereka dapat mengabaikan SOP di Teams dengan menyalahgunakan fitur pratinjau tautan aplikasi.
Ini sebenarnya dicapai dengan mengizinkan klien membuat pratinjau tautan untuk halaman target dan kemudian menggunakan teks ringkasan atau pengenalan karakter optik (OCR) pada gambar pratinjau untuk mengekstrak informasi.
Selain itu, saat melakukan ini, salah satu pendiri Positive Security Fabian Bräunlein juga menemukan kerentanan lain yang tidak terkait dalam implementasi fitur.
Dua dari empat bug jahat yang ditemukan di Microsoft Teams dapat digunakan di perangkat apa pun dan memungkinkan pemalsuan permintaan sisi server (SSRF) dan spoofing.
Dua lainnya hanya mempengaruhi smartphone Android dan dapat dimanfaatkan untuk membocorkan alamat IP dan mencapai Denial of Service (DOS).
Tak perlu dikatakan bahwa, dengan mengeksploitasi kerentanan SSRF, para peneliti dapat membocorkan informasi dari jaringan lokal Microsoft.
Pada saat yang sama, bug spoofing dapat digunakan untuk meningkatkan efektivitas serangan phishing atau untuk menyembunyikan tautan berbahaya.
Yang paling mengkhawatirkan dari semuanya pasti adalah bug DOS, karena penyerang dapat mengirim pengguna pesan yang menyertakan pratinjau tautan dengan target tautan pratinjau yang tidak valid untuk merusak aplikasi Teams untuk Android.
Sayangnya, aplikasi akan terus macet saat mencoba membuka obrolan atau saluran dengan pesan berbahaya.
Positive Security sebenarnya memberi tahu Microsoft tentang temuannya pada 10 Maret melalui program bug bounty-nya. Sejak itu, raksasa teknologi itu hanya menambal kerentanan kebocoran alamat IP di Teams for Android.
Tetapi sekarang setelah informasi yang membingungkan ini dipublikasikan dan konsekuensi dari kerentanan ini cukup jelas, Microsoft harus meningkatkan permainannya dan menghasilkan beberapa perbaikan yang cepat dan efektif.
Pernahkah Anda mengalami masalah keamanan saat menggunakan Teams? Bagikan pengalaman Anda dengan kami di bagian komentar di bawah.
