- Дослідники безпеки діляться новинами про популярний додаток Microsoft для конференцій.
- Очевидно, Teams все ще страждає від чотирьох уразливостей, які дозволяють зловмисникам проникнути.
- Можна використовувати два з них щоб дозволити підробку запитів на стороні сервера (SSRF) і підробку.
- Два інших впливають лише на смартфони Android і можуть бути використані для витоку IP-адрес.
Днями ми просто говорили про Teams, повідомляючи про те, як можливо, ви не зможете створити нові безкоштовні облікові записи організації, і найкращий додаток Microsoft для конференцій вже знову в центрі уваги.
І хоча ми відчуваємо себе краще, коли маємо повідомляти про виправлення та покращення чи нові функції, які надходять у Teams, ми також повинні повідомити вас про цю загрозу безпеці.
Очевидно, дослідники безпеки виявили чотири окремі вразливості в Teams, які могли бути експлуатується для підробки попереднього перегляду посилань, витоку IP-адрес і навіть доступу до внутрішньої інформації Microsoft послуги.
Чотири основні вразливості все ще експлуатуються в дикій природі
Експерти Positive Security натрапили на ці вразливості, шукаючи спосіб обійти політику однакового походження (SOP) у Teams і Electron, повідомляє допис у блозі.
На випадок, якщо ви не знайомі з терміном, SOP — це механізм безпеки, який міститься в браузерах, який допомагає зупинити веб-сайти від нападів один на одного.
Досліджуючи це чутливе питання, дослідники виявили, що вони можуть обійти SOP в Teams, зловживаючи функцією попереднього перегляду посилання в додатку.
Насправді цього було досягнуто, дозволивши клієнту створити попередній перегляд посилання для цільової сторінки, а потім використовуючи для вилучення або підсумковий текст, або оптичне розпізнавання символів (OCR) на зображенні попереднього перегляду інформації.
Крім того, роблячи це, співзасновник Positive Security Фабіан Броунлайн також виявив інші непов’язані вразливості в реалізації функції.
Дві з чотирьох неприємних помилок, знайдених у Microsoft Teams, можна використовувати на будь-якому пристрої та допускають підробку запитів на стороні сервера (SSRF) та підробку.
Два інших впливають лише на смартфони Android і можуть бути використані для витоку IP-адрес і досягнення відмови в обслуговуванні (DOS).
Само собою зрозуміло, що, використовуючи вразливість SSRF, дослідники змогли витоку інформації з локальної мережі Microsoft.
У той же час помилку спуфінгу можна використовувати для підвищення ефективності фішингових атак або для приховування шкідливих посилань.
Найбільше занепокоєння з усіх, безумовно, має бути помилка DOS, оскільки зловмисник може надіслати користувачеві a повідомлення, яке містить попередній перегляд посилання з недійсним цільовим посиланням для попереднього перегляду для аварійного завершення роботи програми Teams Android.
На жаль, програма продовжуватиме аварійне завершення роботи при спробі відкрити чат або канал із шкідливим повідомленням.
Positive Security фактично повідомила Microsoft про свої висновки 10 березня через свою програму винагороди за помилки. З тих пір технічний гігант лише виправив уразливість витоку IP-адреси в Teams для Android.
Але тепер, коли ця неприємна інформація стала загальнодоступною, а наслідки цих вразливостей досить очевидні, Microsoft доведеться активізувати свою гру та придумати кілька швидких та ефективних виправ.
Чи виникали у вас проблеми з безпекою під час використання Teams? Поділіться з нами своїм досвідом у розділі коментарів нижче.
