雖然當我們需要傳達 Teams 的修復和改進或新功能時,我們會感覺更好,但我們也需要向您傳達這種安全風險。
安全研究人員似乎在 Teams 中發現了四個單獨的漏洞,可被利用來欺騙鏈接預覽、洩露 IP 地址,甚至訪問內部 Microsoft 服務。
四大漏洞仍在野外被利用
根據一篇博客文章, Positive Security 專家在尋找繞過 Teams 和 Electron 中的同源策略 (SOP) 的方法時偶然發現了這些漏洞。
以防萬一您不熟悉該術語,SOP 是瀏覽器中的一種安全機制,可幫助防止網站相互攻擊。
在調查這個敏感問題時,研究人員發現他們可以通過濫用應用內鏈接預覽功能來繞過 Teams 中的 SOP。
事實上,這是通過允許客戶端為登錄頁面創建鏈接預覽,然後在預覽圖像上使用摘要文本或光學字符識別 (OCR) 來提取信息來實現的。
此外,Positive Security 的聯合創始人 Fabian Braunline 在執行此功能時還發現了其他不相關的漏洞。
資料來源:積極安全
Microsoft Teams 中發現的四個令人討厭的錯誤中的兩個可以在任何設備上使用,並允許服務器端請求偽造 (SSRF) 和欺騙。
其他兩個僅影響 Android 智能手機,可用於洩漏 IP 地址並實現拒絕服務 (DOS)。
不言而喻,研究人員通過利用SSRF漏洞,能夠從微軟本地網絡獲取信息。
同時,欺騙錯誤可用於提高網絡釣魚攻擊的有效性或隱藏惡意鏈接。
最令人不安的 DOS 錯誤是,攻擊者可以向用戶發送鏈接預覽消息,其中包含無效的預覽目標鏈接,從而使 Teams Android 應用程序崩潰。
不幸的是,當嘗試打開帶有惡意消息的聊天或頻道時,應用程序將繼續崩潰。
事實上,作為漏洞賞金計劃的一部分,Positive Security 於 3 月 10 日向微軟宣布了其調查結果。從那以後,這家科技巨頭只修復了 Android 版 Teams 中的一個 IP 洩漏漏洞。
但是現在這些令人困惑的信息已經公開可用,並且這些漏洞的影響也相當清楚,微軟將不得不加強其遊戲並提供一些快速有效的修復。
您在使用 Teams 時遇到過任何安全問題嗎?在下面的評論部分與我們分享您的經驗。
發佈留言