- Исследователи безопасности делятся новостями о популярном приложении Microsoft для конференц-связи.
- Судя по всему, Teams по-прежнему страдают от четырех уязвимостей, которые позволяют злоумышленникам проникнуть.
- Два из них можно использовать чтобы разрешить подделку запросов на стороне сервера (SSRF) и спуфинг.
- Два других влияют только на смартфоны Android и могут использоваться для утечки IP-адресов.
На днях мы как раз говорили о командах, рассказывая о том, как возможно, вы не сможете создавать новые бесплатные учетные записи организации, а главное приложение для конференц-связи от Microsoft уже снова в центре внимания.
И хотя мы чувствуем себя лучше, когда нам нужно сообщать об исправлениях и улучшениях или новых функциях, которые появятся в Teams, мы также должны сообщить вам об этой угрозе безопасности.
По-видимому, исследователи безопасности обнаружили четыре отдельных уязвимости в Teams, которые могут быть используется для подделки превью ссылок, утечки IP-адресов и даже доступа к внутренним Сервисы.
Четыре основных уязвимости все еще используются в дикой природе
Эксперты Positive Security наткнулись на эти уязвимости, пытаясь найти способ обойти политику одинакового происхождения (SOP) в Teams и Electron. Сообщение блога.
На всякий случай, если вы не знакомы с этим термином, SOP - это механизм безопасности в браузерах, который помогает предотвратить атаки сайтов друг на друга.
Изучая этот деликатный вопрос, исследователи обнаружили, что они могут обойти СОП в Teams, злоупотребляя функцией предварительного просмотра ссылок в приложении.
На самом деле это было достигнуто, позволив клиенту создать предварительный просмотр ссылки для целевой страницы, а затем использование сводного текста или оптического распознавания символов (OCR) на изображении предварительного просмотра для извлечения Информация.
Кроме того, при этом соучредитель Positive Security Фабиан Бройнлайн обнаружил и другие не связанные уязвимости в реализации этой функции.
Две из четырех неприятных ошибок, обнаруженных в Microsoft Teams, могут использоваться на любом устройстве и допускают подделку запросов на стороне сервера (SSRF) и спуфинг.
Два других влияют только на смартфоны Android и могут использоваться для утечки IP-адресов и достижения отказа в обслуживании (DOS).
Само собой разумеется, что, используя уязвимость SSRF, исследователи смогли получить информацию из локальной сети Microsoft.
В то же время ошибка спуфинга может использоваться для повышения эффективности фишинговых атак или для сокрытия вредоносных ссылок.
Больше всего беспокоит ошибка DOS, поскольку злоумышленник может отправить пользователю сообщение, которое включает предварительный просмотр ссылки с недопустимой целью ссылки предварительного просмотра, чтобы вызвать сбой приложения Teams для Android.
К сожалению, приложение продолжит вылетать при попытке открыть чат или канал с вредоносным сообщением.
Фактически, Positive Security сообщила Microsoft о своих выводах 10 марта в рамках своей программы вознаграждения за ошибки. С тех пор технический гигант только устранил уязвимость утечки IP-адреса в Teams для Android.
Но теперь, когда эта сбивающая с толку информация стала общедоступной, а последствия этих уязвимостей довольно ясны, Microsoft придется активизировать свою игру и предложить некоторые быстрые и эффективные исправления.
Испытывали ли вы какие-либо проблемы с безопасностью при использовании Teams? Поделитесь с нами своим опытом в разделе комментариев ниже.
