- セキュリティ研究者は、マイクロソフトの人気のある会議アプリに関するニュースについて共有しています。
- どうやら、チームはまだ攻撃者が侵入することを可能にする4つの脆弱性に悩まされています。
- そのうちの2つを使用できます サーバー側のリクエストフォージェリ(SSRF)となりすましを可能にします。
- 他の2つはAndroidスマートフォンにのみ影響し、悪用されてIPアドレスが漏洩する可能性があります。
先日、チームについて話していたところです。 新しい無料の組織アカウントを作成できない場合があります、そしてMicrosoftのトップ会議アプリはすでに脚光を浴びています。
また、修正や改善、またはTeamsに導入される新機能を報告する必要がある場合は気分が良くなりますが、このセキュリティリスクについても通知する必要があります。
どうやら、セキュリティ研究者はチーム内に4つの別個の脆弱性を発見しました。 リンクプレビューのなりすまし、IPアドレスの漏洩、さらにはMicrosoftの内部へのアクセスを目的として悪用される サービス。
4つの主要な脆弱性がまだ野生で悪用されています
ポジティブセキュリティの専門家は、TeamsとElectronの同一生成元ポリシー(SOP)を回避する方法を探しているときに、これらの脆弱性に遭遇しました。 ブログ投稿.
この用語に慣れていない場合に備えて、SOPはブラウザにあるセキュリティメカニズムであり、Webサイトが相互に攻撃するのを防ぐのに役立ちます。
この機密事項を調査しているときに、研究者は、アプリのリンクプレビュー機能を悪用することで、TeamsのSOPを回避できることを発見しました。
これは、クライアントがターゲットページのリンクプレビューを生成してから、 プレビュー画像で要約テキストまたは光学式文字認識(OCR)を使用して抽出する 情報。
また、これを行っている間に、Positive Securityの共同創設者であるFabianBräunleinは、この機能の実装に他の無関係な脆弱性も発見しました。
Microsoft Teamsで見つかった4つの厄介なバグのうち2つは、どのデバイスでも使用でき、サーバー側のリクエストフォージェリ(SSRF)となりすましを可能にします。
他の2つはAndroidスマートフォンにのみ影響し、IPアドレスを漏洩してサービス拒否(DOS)を達成するために悪用される可能性があります。
言うまでもなく、SSRFの脆弱性を悪用することで、研究者はMicrosoftのローカルネットワークから情報を漏らすことができました。
同時に、なりすましのバグを使用して、フィッシング攻撃の効果を高めたり、悪意のあるリンクを隠したりすることができます。
攻撃者はユーザーに Teamsアプリをクラッシュさせるための無効なプレビューリンクターゲットを含むリンクプレビューを含むメッセージ アンドロイド。
残念ながら、悪意のあるメッセージでチャットまたはチャネルを開こうとすると、アプリはクラッシュし続けます。
ポジティブセキュリティは実際、バグ報奨金プログラムを通じて3月10日にマイクロソフトに調査結果を通知しました。 それ以来、テクノロジーの巨人はTeams forAndroidのIPアドレスリークの脆弱性にパッチを当てているだけです。
しかし、この当惑させる情報が公開され、これらの脆弱性の結果がかなり明確になった今、マイクロソフトはゲームを強化し、いくつかの迅速で効果的な修正を考え出す必要があります。
Teamsの使用中にセキュリティの問題が発生しましたか? 以下のコメントセクションで私たちとあなたの経験を共有してください。
