微软MicrosoftTeams可能存在一些严重的安全问题

导读安全研究人员在MicrosoftTeams中发现了四个单独的漏洞,攻击者可以利用这些漏洞来欺骗链接预览、泄漏IP地址甚至访问该软件巨头的内部服务。

安全研究人员在MicrosoftTeams中发现了四个单独的漏洞,攻击者可以利用这些漏洞来欺骗链接预览、泄漏IP地址甚至访问该软件巨头的内部服务。根据一篇新的博客文章,这些发现是由PositiveSecurity的研究人员在寻找绕过Teams和Electron中的同源策略(SOP)的方法时“偶然发现”的。对于那些不熟悉的人,SOP是浏览器中的一种安全机制,可帮助阻止网站相互攻击。

在对此事进行调查期间,研究人员发现他们可以通过滥用Microsoft视频会议软件中的链接预览功能来绕过Teams中的SOP,允许客户端为目标页面生成链接预览,然后使用摘要文本或光学对预览图像进行字符识别(OCR)以提取信息。

但是,在执行此操作时,PositiveSecurity联合创始人FabianBräunlein在该功能的实施中发现了其他不相关的漏洞。

Bräunlein在Teams中发现的四个漏洞中,两个可以在任何设备上使用并允许服务器端请求伪造(SSRF)和欺骗,而另外两个只影响Android智能手机,可被利用来泄漏IP地址并实现拒绝服务(DOS)。

通过利用SSRF漏洞,研究人员能够从微软的本地网络泄露信息。同时,欺骗漏洞可用于提高网络钓鱼攻击的有效性或隐藏恶意链接。

DOS错误尤其令人担忧,因为攻击者可以向用户发送一条消息,其中包含带有无效预览链接目标(例如“boom”而不是“https://...”)的链接预览,从而使Teams应用程序崩溃安卓。不幸的是,当尝试打开带有恶意消息的聊天或频道时,该应用程序将继续崩溃。

PositiveSecurity于3月10日通过其漏洞赏金计划负责任地向微软披露了其调查结果。然而,从那以后,这家软件巨头只修补了Android版Teams中的IP地址泄漏漏洞。现在PositiveSecurity已公开披露其调查结果,尽管微软告诉研究人员它们不会对其用户构成直接威胁,但它可能不得不修补剩余的三个漏洞。

免责声明:本文由用户上传,如有侵权请联系删除!