Mivel a távmunka továbbra is rengeteg cég életének a szerves része, sok vállalatnál a csapaton belüli kommunikáció elsődleges eszköze a Microsoft Teams. Számukra valószínűleg elég nyugtalanító a hír, hogy az Office részét képező csevegő- és konferenciaszoftver több biztonsági hibáját nem javították ki a készítői, pedig hónapok óta tudnak róla.
Erről nemrég a sebezhetőségeket felfedező, és a Microsoft Bug Bounty programjában a készítők felé jelentő Positive Security tett közzé egy blogposztot, amiben részletezik, hogy egyetlen feature beépítése hozta el mind a négy biztonsági rést. A probléma gyökerét az a funkció okozza, ami a felhasználók között küldött hiperlinkek előnézetét a kliens oldalán generálja, de ártó szándékkal egy esetleges hacker ezeket módosíthatja is. Ez önmagában is problémás, ugyanis egy malware-re vagy más káros oldalra vagy fájlra mutató linket egy teljesen ártalmatlan oldalnak tudnak álcázni az esetleges támadók, de a Positive Security ennek felderítése közben más hibákat is talált.
A linkek előnézetét érintő bug mellett a biztonsági cég egy másikat is talált, ami minden platformon jelen van a Teamsben. Ez kiszolgálóoldali kérelem-hamisítási támadásokat (SSRF) tesz lehetővé, ennek a kihasználásával pedig a Microsoft belső hálózatából is képesek voltak információkat kiszivárogtatni a hibákat kereső támadók. Két másik bug, amit találtak, csak a Microsoft szolgáltatásának androidos változatában található meg, amiken keresztül IP-címek kiszivárogtatása, illetve az app ellen indított DOS (Denial of Service) támadások indítása lehetséges. Ez utóbbit úgy sikerült elérnie a Positive Securitynek, hogy olyan linkeket küldtek álcázott formában, amiktől összeomlik a Teams, és a jövőben is így tesz minden egyes alkalommal, amikor a kérdéses beszélgetést megnyitja a felhasználó.
Ugyan a biztonsági csapat 2021 márciusában jelentette mind a négy hibát, a Microsoft fejlesztői kizárólag azt patchelték, amelyik az IP-címek szivárogtatását tette lehetővé. A maradék három közül egyről úgy vélték, hogy nem érdemes javítani, a másik kettő kapcsán pedig azt válaszolták, nem jelentenek akkora biztonsági kockázatot a felhasználók számára, hogy a közeli jövőben patcheljék őket. Most viszont, hogy a Positive Security nyilvánosan is beszélt a hibákról, megeshet, hogy a felhasználók nyomására mégis előveszik ezeket a bugokat is.
