- Güvenlik araştırmacıları, Microsoft'un popüler konferans uygulamasıyla ilgili haberleri paylaşıyor.
- Görünüşe göre Teams, saldırganların sızmasına izin veren dört güvenlik açığından hala rahatsız.
- Bunlardan ikisi kullanılabilir sunucu tarafı istek sahteciliğine (SSRF) ve kimlik sahtekarlığına izin vermek için.
- Diğer ikisi yalnızca Android akıllı telefonları etkiler ve IP adreslerini sızdırmak için kullanılabilir.
Geçen gün Teams hakkında konuşuyorduk, nasıl olduğunu bildiriyorduk. yeni ücretsiz kuruluş hesapları oluşturamayabilirsiniz, ve Microsoft'un en iyi konferans uygulaması şimdiden ilgi odağı oldu.
Düzeltmeleri ve iyileştirmeleri veya Teams'e gelen yeni özellikleri bildirmemiz gerektiğinde kendimizi daha iyi hissetsek de, bu güvenlik riskini de size bildirmemiz gerekiyor.
Görünüşe göre, güvenlik araştırmacıları, Teams içinde olabilecek dört ayrı güvenlik açığı keşfetti. bağlantı önizlemelerini yanıltmak, IP adreslerini sızdırmak ve hatta Microsoft'un dahili Hizmetler.
Vahşi doğada hala dört büyük güvenlik açığından yararlanılıyor
Positive Security uzmanları, Teams ve Electron'da Aynı Köken Politikasını (SOP) atlamanın bir yolunu ararken bu güvenlik açıklarına rastladı. Blog yazısı.
SOP terimine aşina değilseniz, tarayıcılarda bulunan ve web sitelerinin birbirine saldırmasını engellemeye yardımcı olan bir güvenlik mekanizmasıdır.
Araştırmacılar, bu hassas konuyu araştırırken, uygulamanın bağlantı önizleme özelliğini kötüye kullanarak Teams'deki SOP'yi atlayabileceklerini keşfettiler.
Bu, aslında, istemcinin hedef sayfa için bir bağlantı önizlemesi oluşturmasına ve ardından çıkarmak için önizleme görüntüsünde özet metin veya optik karakter tanıma (OCR) kullanma bilgi.
Ayrıca, bunu yaparken, Positive Security kurucu ortağı Fabian Bräunlein, özelliğin uygulanmasında da ilgisiz diğer güvenlik açıklarını keşfetti.
Microsoft Teams'de bulunan dört kötü hatadan ikisi herhangi bir cihazda kullanılabilir ve sunucu tarafı istek sahteciliğine (SSRF) ve kimlik sahtekarlığına izin verir.
Diğer ikisi yalnızca Android akıllı telefonları etkiler ve IP adreslerini sızdırmak ve Hizmet Reddi (DOS) elde etmek için kullanılabilir.
Araştırmacıların SSRF güvenlik açığından yararlanarak Microsoft'un yerel ağından bilgi sızdırdığını söylemeye gerek yok.
Aynı zamanda, sızdırma hatası, kimlik avı saldırılarının etkinliğini artırmak veya kötü niyetli bağlantıları gizlemek için kullanılabilir.
Hepsinden en endişe verici olanı kesinlikle DOS hatası olmalıdır, çünkü bir saldırgan bir kullanıcıya bir için Teams uygulamasını çökertmek için geçersiz bir önizleme bağlantı hedefine sahip bir bağlantı önizlemesi içeren mesaj Android.
Ne yazık ki, kötü amaçlı mesaj içeren sohbeti veya kanalı açmaya çalışırken uygulama çökmeye devam edecek.
Positive Security aslında Microsoft'a 10 Mart'taki bulgularını hata ödül programı aracılığıyla bildirdi. O zamandan beri teknoloji devi, Teams for Android'de yalnızca IP adresi sızıntısı güvenlik açığını düzeltti.
Ancak artık bu endişe verici bilgiler herkese açık olduğundan ve bu güvenlik açıklarının sonuçları oldukça açık olduğundan, Microsoft'un oyununu hızlandırması ve bazı hızlı, etkili düzeltmeler bulması gerekecek.
Teams'i kullanırken herhangi bir güvenlik sorunu yaşadınız mı? Aşağıdaki yorumlar bölümünde deneyiminizi bizimle paylaşın.
