Abbiamo appena parlato di Teams l’altro giorno, segnalando che potresti non essere in grado di creare nuovi account di organizzazione gratuiti e che la principale app per conferenze di Microsoft è tornata sotto i riflettori.
E mentre ci sentiamo meglio quando abbiamo bisogno di comunicare correzioni e miglioramenti o nuove funzionalità in arrivo a Teams, dobbiamo anche comunicarti questo rischio per la sicurezza.
I ricercatori di sicurezza sembrano aver scoperto quattro vulnerabilità separate in Teams che potrebbero essere sfruttate per falsificare le anteprime dei collegamenti, indirizzi IP trapelati e persino accedere ai servizi interni di Microsoft.
Quattro principali vulnerabilità sono ancora sfruttate in natura
Secondo un post sul blog, gli esperti di Positive Security si sono imbattuti in queste vulnerabilità mentre cercavano un modo per aggirare la stessa politica di origine (SOP) in Teams ed Electron.
Nel caso in cui non si abbia familiarità con il termine, SOP è un meccanismo di sicurezza presente nei browser che aiuta a impedire ai siti Web di attaccarsi a vicenda.
Indagando su questo problema delicato, i ricercatori hanno scoperto che potevano aggirare le SOP in Teams abusando della funzionalità di anteprima del collegamento in-app.
In effetti, ciò è stato ottenuto consentendo al cliente di creare un’anteprima del collegamento per la pagina di destinazione e quindi utilizzare il testo di riepilogo o il riconoscimento ottico dei caratteri (OCR) sull’immagine di anteprima per estrarre le informazioni.
Inoltre, mentre il co-fondatore di Positive Security, Fabian Braunline ha scoperto altre vulnerabilità non correlate nell’implementazione di questa funzione.
Fonte: Sicurezza positiva
Due dei quattro fastidiosi bug rilevati in Microsoft Teams possono essere utilizzati su qualsiasi dispositivo e consentono la falsificazione delle richieste lato server (SSRF) e lo spoofing.
Gli altri due riguardano solo gli smartphone Android e possono essere utilizzati per divulgare indirizzi IP e ottenere Denial of Service (DOS).
Va da sé che sfruttando la vulnerabilità SSRF, i ricercatori sono riusciti a ottenere informazioni dalla rete locale di Microsoft.
Allo stesso tempo, un errore di spoofing può essere utilizzato per migliorare l’efficacia degli attacchi di phishing o per nascondere i collegamenti dannosi.
L’errore DOS più preoccupante è che un utente malintenzionato potrebbe inviare un messaggio di anteprima del collegamento all’utente con un collegamento di destinazione dell’anteprima non valido per arrestare in modo anomalo l’app Teams per Android.
Sfortunatamente, l’applicazione continuerà a bloccarsi quando si tenta di aprire una chat o un canale con un messaggio dannoso.
In effetti, Positive Security ha annunciato le sue scoperte a Microsoft il 10 marzo come parte del suo programma di bug bounty. Da allora, il gigante della tecnologia ha risolto solo una vulnerabilità di perdita di IP in Teams per Android.
Ma ora che queste informazioni confuse sono diventate pubblicamente disponibili e le implicazioni di queste vulnerabilità sono abbastanza chiare, Microsoft dovrà intensificare il suo gioco e offrire alcune soluzioni rapide ed efficaci.
Hai riscontrato problemi di sicurezza con Teams? Condividi la tua esperienza con noi nella sezione commenti qui sotto.
Lascia un commento