- Изследователи по сигурността споделят загрижени новини за популярното приложение на Microsoft за конференции.
- Очевидно Teams все още е засегнат от четири уязвимости, които позволяват на нападателите да проникнат.
- Две от тях могат да се използват за да позволи фалшифициране на заявки от страна на сървъра (SSRF) и спуфинг.
- Другите две засягат само смартфоните с Android и могат да бъдат използвани за изтичане на IP адреси.
Току-що говорихме за Teams онзи ден, докладвайки как може да не сте в състояние да създавате нови безплатни акаунти на организация, а най-доброто приложение за конференции на Microsoft вече е отново в светлината на прожекторите.
И въпреки че се чувстваме по-добре, когато трябва да докладваме за корекции и подобрения или нови функции, идващи в Teams, трябва също да ви уведомим за този риск за сигурността.
Очевидно изследователите по сигурността са открили четири отделни уязвимости в Teams, това може да бъде експлоатира се, за да се измамят визуализации на връзки, да се изтекат IP адреси и дори да се получи достъп до вътрешните на Microsoft услуги.
Четири основни уязвимости все още се използват в дивата природа
Експерти от Positive Security се натъкнаха на тези уязвимости, докато търсеха начин да заобиколят политиката за същия произход (SOP) в Teams и Electron, според блог пост.
Само в случай, че не сте запознати с термина, SOP е механизъм за сигурност, открит в браузърите, който помага да се спре уебсайтовете да се атакуват един друг.
Докато разследваха този чувствителен въпрос, изследователите откриха, че могат да заобиколят SOP в Teams, като злоупотребяват с функцията за преглед на връзката на приложението.
Това всъщност беше постигнато, като се позволи на клиента да генерира предварителен преглед на връзката за целевата страница и след това използвайки обобщен текст или оптично разпознаване на символи (OCR) върху изображението за визуализация за извличане информация.
Освен това, докато правеше това, съоснователят на Positive Security Фабиан Броунлайн откри и други несвързани уязвимости в внедряването на функцията.
Две от четирите неприятни грешки, открити в Microsoft Teams, могат да се използват на всяко устройство и позволяват фалшифициране на заявки от страна на сървъра (SSRF) и спуфинг.
Другите две засягат само смартфоните с Android и могат да бъдат използвани за изтичане на IP адреси и постигане на отказ от услуга (DOS).
От само себе си се разбира, че използвайки уязвимостта на SSRF, изследователите успяха да изтекат информация от локалната мрежа на Microsoft.
В същото време грешката за спуфинг може да се използва за подобряване на ефективността на фишинг атаките или за скриване на злонамерени връзки.
Най-тревожният от всички тях определено трябва да бъде грешката в DOS, тъй като нападателят може да изпрати на потребител a съобщение, което включва визуализация на връзка с невалидна цел за връзка за визуализация, за да срине приложението Teams Android.
За съжаление приложението ще продължи да се срива, когато се опитвате да отворите чата или канала със злонамерено съобщение.
Позитивна сигурност всъщност информира Microsoft за своите констатации на 10 март чрез своята програма за награждаване на грешки. Оттогава технологичният гигант е поправил само уязвимостта срещу изтичане на IP адрес в Teams за Android.
Но сега, когато тази смущаваща информация е публична и последствията от тези уязвимости са доста ясни, Microsoft ще трябва да засили играта си и да излезе с някои бързи и ефективни поправки.
Имали ли сте проблеми със сигурността, докато използвате Teams? Споделете своя опит с нас в секцията за коментари по-долу.
