- Výskumníci v oblasti bezpečnosti zdieľajú správy o populárnej konferenčnej aplikácii spoločnosti Microsoft.
- Zdá sa, že Teams stále trápia štyri zraniteľnosti, ktoré umožňujú útočníkom infiltrovať sa.
- Môžu sa použiť dve z nich aby sa umožnilo falšovanie požiadaviek na strane servera (SSRF) a spoofing.
- Ďalšie dva sa týkajú iba smartfónov so systémom Android a možno ich zneužiť na únik IP adries.
Minule sme sa rozprávali o Teams a podávali správy o tom, ako na to možno nebudete môcť vytvoriť nové bezplatné organizačné účtya najlepšia konferenčná aplikácia od Microsoftu je už opäť v centre pozornosti.
A hoci sa cítime lepšie, keď musíme hlásiť opravy a vylepšenia alebo nové funkcie prichádzajúce do aplikácie Teams, musíme vás tiež informovať o tomto bezpečnostnom riziku.
Výskumníci v oblasti bezpečnosti objavili v rámci Teams štyri samostatné zraniteľnosti, ktoré by mohli byť zneužívané na sfalšovanie ukážok odkazov, únik IP adries a dokonca prístup k interným informáciám spoločnosti Microsoft služby.
Vo voľnej prírode sa stále využívajú štyri hlavné zraniteľnosti
Experti z Positive Security narazili na tieto zraniteľnosti, keď hľadali spôsob, ako obísť politiku rovnakého pôvodu (SOP) v Teams a Electron. príspevok v blogu.
Pre prípad, že tento termín nepoznáte, SOP je bezpečnostný mechanizmus nachádzajúci sa v prehliadačoch, ktorý pomáha zabrániť tomu, aby sa webové stránky navzájom napádali.
Pri skúmaní tejto citlivej záležitosti vedci zistili, že by mohli obísť SOP v Teams zneužitím funkcie ukážky odkazu aplikácie.
To sa v skutočnosti dosiahlo tým, že klient mohol vygenerovať ukážku odkazu pre cieľovú stránku a potom pomocou súhrnného textu alebo optického rozpoznávania znakov (OCR) na náhľadovom obrázku na extrahovanie informácie.
Pritom spoluzakladateľ Positive Security Fabian Bräunlein objavil aj ďalšie nesúvisiace zraniteľnosti v implementácii funkcie.
Dve zo štyroch nepríjemných chýb nájdených v Microsoft Teams možno použiť na akomkoľvek zariadení a umožňujú falšovanie požiadaviek na strane servera (SSRF) a spoofing.
Ďalšie dva ovplyvňujú iba smartfóny so systémom Android a možno ich zneužiť na únik IP adries a dosiahnutie odmietnutia služby (DOS).
Je samozrejmé, že využitím zraniteľnosti SSRF sa výskumníkom podarilo uniknúť informácie z lokálnej siete Microsoftu.
Spoofing bug možno zároveň použiť na zlepšenie účinnosti phishingových útokov alebo na skrytie škodlivých odkazov.
Najznepokojujúcejšou zo všetkých by mala byť určite chyba DOSu, keďže útočník môže poslať používateľovi a správu, ktorá obsahuje ukážku odkazu s neplatným cieľom odkazu ukážky, pre ktorý sa má zrútiť aplikácia Teams Android.
Bohužiaľ, aplikácia bude naďalej padať pri pokuse o otvorenie chatu alebo kanála so škodlivou správou.
Spoločnosť Positive Security v skutočnosti informovala spoločnosť Microsoft o svojich zisteniach 10. marca prostredníctvom svojho programu odmeňovania chýb. Odvtedy technický gigant opravoval iba zraniteľnosť úniku IP adresy v Teams pre Android.
Ale teraz, keď sú tieto znepokojujúce informácie verejné a dôsledky týchto zraniteľností sú celkom jasné, Microsoft bude musieť zintenzívniť svoju hru a prísť s niekoľkými rýchlymi a účinnými opravami.
Zaznamenali ste pri používaní aplikácie Teams nejaké problémy so zabezpečením? Podeľte sa s nami o svoje skúsenosti v sekcii komentárov nižšie.
