- חוקרי אבטחה משתפים בחדשות על אפליקציית שיחות הועידה הפופולרית של מיקרוסופט.
- ככל הנראה, Teams עדיין מושפע מארבע נקודות תורפה המאפשרות לתוקפים לחדור.
- ניתן להשתמש בשניים מהם כדי לאפשר זיוף בקשות בצד השרת (SSRF) וזיוף.
- השניים האחרים משפיעים רק על סמארטפונים של אנדרואיד וניתן לנצל אותם כדי להדליף כתובות IP.
בדיוק דיברנו על Teams לפני כמה ימים, דיווחנו על איך ייתכן שלא תוכל ליצור חשבונות ארגון חדשים בחינם, ואפליקציית שיחות הועידה המובילה של מיקרוסופט כבר חזרה לאור הזרקורים.
ולמרות שאנחנו מרגישים טוב יותר כשאנחנו צריכים לדווח על תיקונים ושיפורים, או תכונות חדשות שמגיעות ל-Teams, אנחנו חייבים ליידע אותך גם על סיכון האבטחה הזה.
ככל הנראה, חוקרי אבטחה גילו ארבע נקודות תורפה נפרדות בתוך Teams, יכול להיות מנוצל על מנת לזייף תצוגות מקדימות של קישורים, דליפת כתובות IP ואפילו גישה לתוכן הפנימי של מיקרוסופט שירותים.
ארבע נקודות תורפה מרכזיות עדיין מנוצלות בטבע
מומחים מ-Positive Security נתקלו בנקודות התורפה הללו בזמן שחיפשו דרך לעקוף את מדיניות אותו מקור (SOP) ב-Teams וב-Electron, לפי פוסט בבלוג.
רק למקרה שאתה לא מכיר את המונח, SOP הוא מנגנון אבטחה שנמצא בדפדפנים שעוזר לעצור אתרי אינטרנט מלתקוף אחד את השני.
בזמן שחקרו את העניין הרגיש הזה, החוקרים גילו שהם יכולים לעקוף את ה-SOP ב-Teams על ידי שימוש לרעה בתכונת התצוגה המקדימה של האפליקציה.
זה הושג למעשה על ידי מתן אפשרות ללקוח ליצור תצוגה מקדימה של קישור עבור דף היעד ולאחר מכן באמצעות טקסט סיכום או זיהוי תווים אופטי (OCR) על תמונת התצוגה המקדימה לחילוץ מֵידָע.
כמו כן, תוך כדי כך, מייסד-שותף של Positive Security, Fabian Bräunlein, גילה פגיעויות אחרות שאינן קשורות גם ביישום התכונה.
שניים מתוך ארבעת הבאגים המגעילים שנמצאו ב-Microsoft Teams יכולים לשמש בכל מכשיר ומאפשרים זיוף בקשות בצד השרת (SSRF) וזיוף.
השניים האחרים משפיעים רק על סמארטפונים של אנדרואיד וניתן לנצלם כדי להדליף כתובות IP ולהשיג מניעת שירות (DOS).
מובן מאליו שבאמצעות ניצול הפגיעות של SSRF, החוקרים הצליחו להדליף מידע מהרשת המקומית של מיקרוסופט.
במקביל, ניתן להשתמש בבאג הזיוף כדי לשפר את האפקטיביות של התקפות דיוג או להסתיר קישורים זדוניים.
המדאיג מכולם בהחלט צריך להיות באג DOS, שכן תוקף יכול לשלוח למשתמש א הודעה הכוללת תצוגה מקדימה של קישור עם יעד קישור לא חוקי של תצוגה מקדימה שעבורה יש לקרוס את אפליקציית Teams דְמוּי אָדָם.
למרבה הצער, האפליקציה תמשיך לקרוס כשתנסה לפתוח את הצ'אט או הערוץ עם ההודעה הזדונית.
אבטחה חיובית אכן הודיעה למיקרוסופט על ממצאיה ב-10 במרץ באמצעות תוכנית הבאונטי שלה. מאז, ענקית הטכנולוגיה רק תיקנה את פגיעות דליפת כתובת ה-IP ב-Teams עבור אנדרואיד.
אבל עכשיו, כשהמידע המדאיג הזה פומבי וההשלכות של הפגיעויות האלה די ברורות, מיקרוסופט תצטרך להגביר את המשחק שלה ולהמציא כמה תיקונים מהירים ויעילים.
האם נתקלת בבעיות אבטחה כלשהן בזמן השימוש ב-Teams? שתף אותנו בחוויה שלך בקטע ההערות למטה.
