Bezpečnostní výzkumníci objevili čtyři závažné zranitelnosti v Microsoft Teams, které může útočník zneužít ke skrytí škodlivých odkazů, zjištění IP adres, a dokonce i k přístupu k interním službám Microsoftu.
Na bezpečnostní chyby „nechtěně“ narazili výzkumníci ze společnosti Positive Security. A to při hledání způsobu, jak obejít zásady stejného původu (SOP) v aplikaci Teams. SOP je bezpečnostní mechanismus, který se nachází v prohlížečích a pomáhá zabránit vzájemnému napadání webových stránek.
Chyby byly objeveny na začátku tohoto roku a 10. března o nich informovali výzkumníci společnost Microsoft. Až 22. prosince byly informace o zranitelnostech zveřejněny.
Dvě ze čtyř objevených chyb se týkaly aplikace Microsoft Teams používaného na libovolném zařízení a umožňovaly „server-side request forgery“ (SSRF). Další dvě chyby se týkají pouze uživatelů s operačním systémem Android. Ty jsou označené výzkumníky jako „IP Address Leak“ (únik IP adresy) a „Denial of Service aka Message of Death“,
Útočníci mohou jednu z chyb využít k phishingovým útokům nebo ke skrytí škodlivých odkazů v obsahu zaslaném uživatelům. Toho lze dosáhnout nastavením cíle náhledu odkazu „na libovolné místo nezávislé na hlavním odkazu, náhledovém obrázku a popisu, zobrazeném názvu hostitele nebo textu na titulní straně,“ uvedli výzkumníci.
Chybu může útočník zneužít tak, že někomu pošle zprávu, která obsahuje odkaz s neplatným náhledem. To způsobí nepřetržitý pád aplikace, když se uživatel pokusí otevřít chat/kanál se škodlivou zprávou. Tím v podstatě zablokuje uživatele z chatu nebo kanálu.
„Přestože objevené zranitelnosti mají omezený dopad, je překvapivé, že tak jednoduché chyby nebyly zřejmě testovány dříve a že společnost Microsoft nemá ochotu nebo prostředky na to, aby před nimi chránila své uživatele,“ uvedli výzkumníci.
Reakce společnosti Microsoft
25. března, 15 dní po nahlášení chyb výzkumníky, uvedla společnost: „Všechna čtyři hlášení jsme prověřili a dospěli jsme k závěru, že nepředstavují bezprostřední hrozbu, která by vyžadovala bezpečnostní opravu. Podobná hlášení jsme obdrželi již v minulosti a v poslední době jsme provedli několik vylepšení v oblasti nakládání s daty a zabezpečení obecně.“
Ze čtyř zranitelností nakonec společnost opravila pouze tu, kterou mohli útočníci využít k získání IP adres. Po včerejším zveřejněním je ale možné, že společnost bude přinucena opravit i ostatní zranitelnosti.
