安全研究人员在MicrosoftTeams中发现了四个单独的漏洞，攻击者可以利用这些漏洞来欺骗链接预览、泄漏IP地址甚至访问该软件巨头的内部服务。根据一篇新的博客文章，这些发现是由PositiveSecurity的研究人员在寻找绕过Teams和Electron中的同源策略(SOP)的方法时“偶然发现”的。对于那些不熟悉的人，SOP是浏览器中的一种安全机制，可帮助阻止网站相互攻击。

在对此事进行调查期间，研究人员发现他们可以通过滥用Microsoft视频会议软件中的链接预览功能来绕过Teams中的SOP，允许客户端为目标页面生成链接预览，然后使用摘要文本或光学对预览图像进行字符识别(OCR)以提取信息。

但是，在执行此操作时，PositiveSecurity联合创始人FabianBräunlein在该功能的实施中发现了其他不相关的漏洞。

Bräunlein在Teams中发现的四个漏洞中，两个可以在任何设备上使用并允许服务器端请求伪造(SSRF)和欺骗，而另外两个只影响Android智能手机，可被利用来泄漏IP地址并实现拒绝服务(DOS)。

通过利用SSRF漏洞，研究人员能够从微软的本地网络泄露信息。同时，欺骗漏洞可用于提高网络钓鱼攻击的有效性或隐藏恶意链接。

DOS错误尤其令人担忧，因为攻击者可以向用户发送一条消息，其中包含带有无效预览链接目标(例如“boom”而不是“https://...”)的链接预览，从而使Teams应用程序崩溃安卓。不幸的是，当尝试打开带有恶意消息的聊天或频道时，该应用程序将继续崩溃。

PositiveSecurity于3月10日通过其漏洞赏金计划负责任地向微软披露了其调查结果。然而，从那以后，这家软件巨头只修补了Android版Teams中的IP地址泄漏漏洞。现在PositiveSecurity已公开披露其调查结果，尽管微软告诉研究人员它们不会对其用户构成直接威胁，但它可能不得不修补剩余的三个漏洞。