- Sikkerhetsforskere deler angående nyheter om Microsofts populære konferanseapp.
- Tilsynelatende er Teams fortsatt plaget av fire sårbarheter som lar angripere infiltrere.
- To av dem kan brukes for å tillate server-side request forgery (SSRF) og spoofing.
- De to andre påvirker bare Android-smarttelefoner og kan utnyttes til å lekke IP-adresser.
Vi snakket nettopp om Teams her om dagen, og rapporterte om hvordan du kan kanskje ikke opprette nye gratis organisasjonskontoer, og Microsofts beste konferanseapp er allerede tilbake i søkelyset.
Og selv om vi føler oss bedre når vi må rapportere reparasjoner og forbedringer, eller nye funksjoner som kommer til Teams, må vi også gi deg beskjed om denne sikkerhetsrisikoen.
Tilsynelatende har sikkerhetsforskere oppdaget fire separate sårbarheter i Teams, det kan være utnyttet for å forfalske forhåndsvisninger av koblinger, lekke IP-adresser og til og med få tilgang til Microsofts interne tjenester.
Fire store sårbarheter blir fortsatt utnyttet i naturen
Eksperter fra Positive Security snublet over disse sårbarhetene mens de lette etter en måte å omgå Same-Origin Policy (SOP) i Teams og Electron, ifølge en
blogg innlegg.Bare i tilfelle du ikke er kjent med begrepet, er SOP en sikkerhetsmekanisme som finnes i nettlesere som hjelper til med å stoppe nettsteder fra å angripe hverandre.
Mens de undersøkte denne sensitive saken, fant forskerne ut at de kunne omgå SOP i Teams ved å misbruke appens funksjon for forhåndsvisning av lenker.
Dette ble faktisk oppnådd ved å la klienten generere en koblingsforhåndsvisning for målsiden og deretter bruke enten sammendragstekst eller optisk tegngjenkjenning (OCR) på forhåndsvisningsbildet for å trekke ut informasjon.
Mens han gjorde dette, oppdaget medgründer av Positive Security Fabian Bräunlein også andre urelaterte sårbarheter i funksjonens implementering.
To av de fire ekle feilene som finnes i Microsoft Teams kan brukes på hvilken som helst enhet og tillater server-side request forgery (SSRF) og spoofing.
De to andre påvirker bare Android-smarttelefoner og kan utnyttes til å lekke IP-adresser og oppnå Denial of Service (DOS).
Det sier seg selv at ved å utnytte SSRF-sårbarheten, kunne forskere lekke informasjon fra Microsofts lokale nettverk.
Samtidig kan spoofing-feilen brukes til å forbedre effektiviteten til phishing-angrep eller for å skjule ondsinnede lenker.
Den mest bekymringsfulle av dem alle burde definitivt være DOS-feilen, ettersom en angriper kan sende en bruker en melding som inneholder en koblingsforhåndsvisning med et ugyldig lenkemål for forhåndsvisning å krasje Teams-appen for Android.
Dessverre vil appen fortsette å krasje når du prøver å åpne chatten eller kanalen med den ondsinnede meldingen.
Positive Security informerte faktisk Microsoft om funnene sine 10. mars gjennom sitt bug-bounty-program. Siden den gang har teknologigiganten bare lappet sikkerhetsproblemet for IP-adresselekkasje i Teams for Android.
Men nå som denne foruroligende informasjonen er offentlig og konsekvensene av disse sårbarhetene ganske klare, vil Microsoft måtte trappe opp spillet og komme med noen raske, effektive rettinger.
Har du opplevd noen sikkerhetsproblemer mens du bruker Teams? Del opplevelsen din med oss i kommentarfeltet nedenfor.
