Ujawnili luki w Microsoft Teams. Tylko jedna z nich została załatana
Badacze bezpieczeństwa odkryli cztery osobne luki w Microsoft Teams, które mogą zostać wykorzystane przez atakującego do sfałszowania podglądu łączy, przechwytywania adresów IP, a nawet uzyskania dostępu do wewnętrznych usług giganta oprogramowania.
Eksperci z Positive Security natknęli się na wspomniane luki podczas poszukiwania sposobu na obejście Same-Origin Policy (SOP) w usłudze Teams – o czym poinformowali na oficjalnym blogu. SOP jest mechanizmem bezpieczeństwa znajdującym się w przeglądarkach, który pomaga powstrzymać strony internetowe przed wzajemnymi atakami.
Badacze odkryli, że można obejść SOP w aplikacji Teams, wykorzystując funkcję podglądu łącza w oprogramowaniu. Dokonali tego, umożliwiając klientowi wygenerowanie podglądu strony docelowej. Następnie używając tekstu skróconego lub optycznego rozpoznawania znaków (OCR) na obrazie podglądu wydobywali interesujące ich informacje.
Współzałożyciel Positive Security, Fabian Bräunlein, podczas badania znalazł jeszcze inne, niezwiązane z tą funkcją luki w implementacji. Dwa z czterech błędów mogą być wykorzystane na każdym urządzeniu i pozwalają na fałszowanie żądań po stronie serwera (SSRF) oraz spoofing, czyli podszywanie się za oficjalne witryny. Natomiast dwa pozostałe wpływają tylko na smartfony z Androidem i mogą być wykorzystane do przejęcia adresów IP i przeprowadzania ataku Denial of Service (DOS).
Positive Security ujawniło swoje odkrycia firmie Microsoft za pośrednictwem swojego programu bug bounty. Jednakże gigant technologiczny do tej pory załatał tylko lukę związaną z wyciekiem adresu IP w Teams na Androida. Microsoft twierdzi, że pozostałe błędy nie stanowią bezpośredniego zagrożenia dla jego użytkowników.