- Beveiligingsonderzoekers delen verontrustend nieuws over de populaire vergaderapp van Microsoft.
- Blijkbaar wordt Teams nog steeds geplaagd door vier kwetsbaarheden waarmee aanvallers kunnen infiltreren.
- Twee van hen kunnen worden gebruikt om server-side request vervalsing (SSRF) en spoofing mogelijk te maken.
- De andere twee zijn alleen van invloed op Android-smartphones en kunnen worden misbruikt om IP-adressen te lekken.
We hadden het onlangs nog over Teams en rapporteerden over hoe u kunt mogelijk geen nieuwe gratis organisatieaccounts maken, en de topconferentie-app van Microsoft staat al weer in de schijnwerpers.
En hoewel we ons beter voelen als we fixes en verbeteringen, of nieuwe functies die naar Teams komen, moeten melden, moeten we je ook op de hoogte stellen van dit beveiligingsrisico.
Blijkbaar hebben beveiligingsonderzoekers vier afzonderlijke kwetsbaarheden binnen Teams ontdekt, dat zou kunnen: misbruikt om linkvoorbeelden te vervalsen, IP-adressen te lekken en zelfs toegang te krijgen tot Microsoft's interne Diensten.
Vier grote kwetsbaarheden worden nog steeds in het wild uitgebuit
Experts van Positive Security stuitten op deze kwetsbaarheden terwijl ze op zoek waren naar een manier om het Same-Origin Policy (SOP) in Teams en Electron te omzeilen, volgens een blogpost.
Voor het geval u de term niet kent, SOP is een beveiligingsmechanisme dat in browsers wordt aangetroffen en dat helpt voorkomen dat websites elkaar aanvallen.
Bij het onderzoeken van deze gevoelige kwestie ontdekten de onderzoekers dat ze de SOP in Teams konden omzeilen door de link-preview-functie van de app te misbruiken.
Dit werd feitelijk bereikt door de klant een linkvoorbeeld voor de doelpagina te laten genereren en vervolgens met behulp van samenvattende tekst of optische tekenherkenning (OCR) op de voorbeeldafbeelding om te extraheren informatie.
Terwijl hij dit deed, ontdekte Fabian Bräunlein, mede-oprichter van Positive Security, ook andere niet-gerelateerde kwetsbaarheden in de implementatie van de functie.
Twee van de vier vervelende bugs in Microsoft Teams kunnen op elk apparaat worden gebruikt en maken server-side request forgery (SSRF) en spoofing mogelijk.
De andere twee zijn alleen van invloed op Android-smartphones en kunnen worden misbruikt om IP-adressen te lekken en Denial of Service (DOS) te bereiken.
Het spreekt voor zich dat onderzoekers door gebruik te maken van de SSRF-kwetsbaarheid informatie uit het lokale netwerk van Microsoft konden lekken.
Tegelijkertijd kan de spoofing-bug worden gebruikt om de effectiviteit van phishing-aanvallen te verbeteren of om kwaadaardige links te verbergen.
De meest verontrustende van allemaal zou zeker de DOS-bug moeten zijn, aangezien een aanvaller een gebruiker een bericht met een linkvoorbeeld met een ongeldig voorbeeldlinkdoel om de Teams-app voor te laten crashen Android.
Helaas blijft de app crashen bij het openen van de chat of het kanaal met het kwaadaardige bericht.
Positive Security heeft Microsoft inderdaad op 10 maart over haar bevindingen geïnformeerd via haar bug bounty-programma. Sindsdien heeft de techgigant alleen de kwetsbaarheid van het IP-adreslek in Teams voor Android gepatcht.
Maar nu deze verontrustende informatie openbaar is en de gevolgen van deze kwetsbaarheden vrij duidelijk zijn, zal Microsoft zijn spel moeten opvoeren en met een aantal snelle, effectieve oplossingen moeten komen.
Heeft u beveiligingsproblemen ondervonden tijdens het gebruik van Teams? Deel uw ervaring met ons in de opmerkingen hieronder.
