- Badacze bezpieczeństwa dzielą się wiadomościami o popularnej aplikacji konferencyjnej Microsoftu.
- Najwyraźniej Teams wciąż jest nękany czterema lukami, które pozwalają atakującym na infiltrację.
- Można użyć dwóch z nich aby zezwolić na fałszowanie żądań po stronie serwera (SSRF) i fałszowanie.
- Pozostałe dwa dotyczą tylko smartfonów z Androidem i mogą zostać wykorzystane do wycieku adresów IP.
Niedawno rozmawialiśmy o Teams, informując o tym, jak możesz nie być w stanie utworzyć nowych bezpłatnych kont organizacji, a najlepsza aplikacja do obsługi konferencji firmy Microsoft jest już w centrum uwagi.
I chociaż czujemy się lepiej, gdy musimy zgłaszać poprawki i ulepszenia lub nowe funkcje pojawiające się w Teams, musimy również poinformować Cię o tym zagrożeniu bezpieczeństwa.
Najwyraźniej analitycy bezpieczeństwa odkryli cztery oddzielne luki w Teams, które mogą być: wykorzystywane w celu sfałszowania podglądu linków, wycieku adresów IP, a nawet uzyskania dostępu do wewnętrznych zasobów firmy Microsoft usługi.
Cztery główne luki w zabezpieczeniach są nadal wykorzystywane na wolności
Eksperci z Positive Security natknęli się na te luki, szukając sposobu na ominięcie polityki tego samego pochodzenia (SOP) w Teams i Electron, według post na blogu.
Na wypadek, gdybyś nie znał tego terminu, SOP to mechanizm bezpieczeństwa znajdujący się w przeglądarkach, który pomaga powstrzymać strony internetowe przed atakowaniem się nawzajem.
Badając tę delikatną sprawę, naukowcy odkryli, że mogą ominąć SOP w usłudze Teams, nadużywając funkcji podglądu łącza w aplikacji.
Udało się to osiągnąć dzięki umożliwieniu klientowi wygenerowania podglądu linku do strony docelowej, a następnie za pomocą podsumowania tekstu lub optycznego rozpoznawania znaków (OCR) na obrazie podglądu do wyodrębnienia Informacja.
Robiąc to, współzałożyciel Positive Security, Fabian Bräunlein, odkrył również inne niepowiązane luki w implementacji funkcji.
Dwa z czterech paskudnych błędów znalezionych w Microsoft Teams mogą być używane na dowolnym urządzeniu i pozwalają na fałszowanie żądań po stronie serwera (SSRF) i podszywanie się.
Pozostałe dwa dotyczą tylko smartfonów z Androidem i mogą zostać wykorzystane do wycieku adresów IP i osiągnięcia odmowy usługi (DOS).
Nie trzeba dodawać, że wykorzystując lukę SSRF, badacze byli w stanie ujawnić informacje z lokalnej sieci Microsoftu.
Jednocześnie błąd spoofingu może zostać wykorzystany do poprawy skuteczności ataków phishingowych lub do ukrycia złośliwych linków.
Najbardziej niepokojącym z nich zdecydowanie powinien być błąd DOS, ponieważ atakujący może wysłać użytkownikowi wiadomość, która zawiera podgląd linku z nieprawidłowym celem linku podglądu, aby spowodować awarię aplikacji Teams dla Android.
Niestety aplikacja będzie się zawieszać podczas próby otwarcia czatu lub kanału ze złośliwą wiadomością.
Positive Security faktycznie poinformował Microsoft o swoich odkryciach 10 marca za pośrednictwem swojego programu bug bounty. Od tego czasu gigant technologiczny załatał jedynie lukę w zabezpieczeniach umożliwiającą wyciek adresu IP w usłudze Teams dla systemu Android.
Ale teraz, gdy ta niepokojąca informacja jest upubliczniona, a konsekwencje tych luk są całkiem jasne, Microsoft będzie musiał przyspieszyć grę i wymyślić kilka szybkich, skutecznych poprawek.
Czy podczas korzystania z usługi Teams wystąpiły jakieś problemy z bezpieczeństwem? Podziel się z nami swoim doświadczeniem w sekcji komentarzy poniżej.
