Hirdetés

A Teams négy megtalált sebezhetőségéből csak egyet javított a Microsoft

|

Egy biztonsági cég tavasszal jelzett a fejlesztők felé négy, a szoftverben található biztonsági rést, de három azóta is a Microsoft Teams része.

Hirdetés

Mivel a távmunka továbbra is rengeteg cég életének a szerves része, sok vállalatnál a csapaton belüli kommunikáció elsődleges eszköze a Microsoft Teams. Számukra valószínűleg elég nyugtalanító a hír, hogy az Office részét képező csevegő- és konferenciaszoftver több biztonsági hibáját nem javították ki a készítői, pedig hónapok óta tudnak róla.

Hirdetés

Erről nemrég a sebezhetőségeket felfedező, és a Microsoft Bug Bounty programjában a készítők felé jelentő Positive Security tett közzé egy blogposztot, amiben részletezik, hogy egyetlen feature beépítése hozta el mind a négy biztonsági rést. A probléma gyökerét az a funkció okozza, ami a felhasználók között küldött hiperlinkek előnézetét a kliens oldalán generálja, de ártó szándékkal egy esetleges hacker ezeket módosíthatja is. Ez önmagában is problémás, ugyanis egy malware-re vagy más káros oldalra vagy fájlra mutató linket egy teljesen ártalmatlan oldalnak tudnak álcázni az esetleges támadók, de a Positive Security ennek felderítése közben más hibákat is talált.

A linkek előnézetét érintő bug mellett a biztonsági cég egy másikat is talált, ami minden platformon jelen van a Teamsben. Ez kiszolgálóoldali kérelem-hamisítási támadásokat (SSRF) tesz lehetővé, ennek a kihasználásával pedig a Microsoft belső hálózatából is képesek voltak információkat kiszivárogtatni a hibákat kereső támadók. Két másik bug, amit találtak, csak a Microsoft szolgáltatásának androidos változatában található meg, amiken keresztül IP-címek kiszivárogtatása, illetve az app ellen indított DOS (Denial of Service) támadások indítása lehetséges. Ez utóbbit úgy sikerült elérnie a Positive Securitynek, hogy olyan linkeket küldtek álcázott formában, amiktől összeomlik a Teams, és a jövőben is így tesz minden egyes alkalommal, amikor a kérdéses beszélgetést megnyitja a felhasználó.

Ugyan a biztonsági csapat 2021 márciusában jelentette mind a négy hibát, a Microsoft fejlesztői kizárólag azt patchelték, amelyik az IP-címek szivárogtatását tette lehetővé. A maradék három közül egyről úgy vélték, hogy nem érdemes javítani, a másik kettő kapcsán pedig azt válaszolták, nem jelentenek akkora biztonsági kockázatot a felhasználók számára, hogy a közeli jövőben patcheljék őket. Most viszont, hogy a Positive Security nyilvánosan is beszélt a hibákról, megeshet, hogy a felhasználók nyomására mégis előveszik ezeket a bugokat is.

Komolyabban érdekel az IT? Informatikai, infokommunikációs döntéshozóknak szóló híreinket és elemzéseinket itt találod.

Hirdetés
Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.