- Säkerhetsforskare delar angående nyheter om Microsofts populära konferensapp.
- Uppenbarligen plågas Teams fortfarande av fyra sårbarheter som tillåter angripare att infiltrera.
- Två av dem kan användas för att möjliggöra förfalskning av förfrågningar på serversidan (SSRF) och spoofing.
- De andra två påverkar bara Android-smarttelefoner och kan utnyttjas för att läcka IP-adresser.
Vi pratade bara om Teams häromdagen och rapporterade om hur du kanske inte kan skapa nya kostnadsfria organisationskonton, och Microsofts bästa konferensapp är redan tillbaka i rampljuset.
Och även om vi mår bättre när vi måste rapportera korrigeringar och förbättringar, eller nya funktioner som kommer till Teams, måste vi också informera dig om denna säkerhetsrisk.
Tydligen har säkerhetsforskare upptäckt fyra separata sårbarheter inom Teams, det kan vara utnyttjas för att förfalska länkförhandsvisningar, läcka IP-adresser och till och med komma åt Microsofts interna tjänster.
Fyra stora sårbarheter utnyttjas fortfarande i det vilda
Experter från Positive Security snubblade över dessa sårbarheter när de letade efter ett sätt att kringgå Same-Origin Policy (SOP) i Teams och Electron, enligt en blogginlägg.
Om du inte är bekant med termen är SOP en säkerhetsmekanism som finns i webbläsare som hjälper till att stoppa webbplatser från att attackera varandra.
Under undersökningen av denna känsliga fråga fann forskarna att de kunde kringgå SOP i Teams genom att missbruka appens länkförhandsgranskningsfunktion.
Detta uppnåddes faktiskt genom att låta klienten generera en länkförhandsvisning för målsidan och sedan använda antingen sammanfattningstext eller optisk teckenigenkänning (OCR) på förhandsgranskningsbilden för att extrahera information.
Samtidigt som Positiv Security-medgrundaren Fabian Bräunlein gjorde detta upptäckte även andra orelaterade sårbarheter i funktionens implementering.
Två av de fyra otäcka buggar som finns i Microsoft Teams kan användas på vilken enhet som helst och möjliggör förfalskning på serversidan (SSRF) och spoofing.
De andra två påverkar bara Android-smarttelefoner och kan utnyttjas för att läcka IP-adresser och uppnå Denial of Service (DOS).
Det säger sig självt att forskare genom att utnyttja SSRF-sårbarheten kunde läcka information från Microsofts lokala nätverk.
Samtidigt kan spoofing-felet användas för att förbättra effektiviteten av nätfiskeattacker eller för att dölja skadliga länkar.
Det mest oroande av dem alla borde definitivt vara DOS-felet, eftersom en angripare kan skicka en användare en meddelande som innehåller en länkförhandsgranskning med ett ogiltigt mål för förhandsgranskningslänken att krascha Teams-appen för Android.
Tyvärr kommer appen att fortsätta krascha när du försöker öppna chatten eller kanalen med det skadliga meddelandet.
Positive Security informerade faktiskt Microsoft om sina upptäckter den 10 mars genom sitt bug-bounty-program. Sedan dess har teknikjätten bara korrigerat sårbarheten för IP-adressläckage i Teams för Android.
Men nu när denna förvirrande information är offentlig och konsekvenserna av dessa sårbarheter är ganska tydliga, måste Microsoft öka sitt spel och komma med några snabba, effektiva korrigeringar.
Har du upplevt några säkerhetsproblem när du använder Teams? Dela din upplevelse med oss i kommentarsfältet nedan.
