先日、Teamsについてお話ししましたが、新しい無料の組織アカウントを作成できない可能性があるとの報告があり、Microsoftの最高の会議アプリが再び脚光を浴びています。
また、Teamsに導入される修正や改善、または新機能を伝達する必要がある場合は気分が良くなりますが、このセキュリティリスクも伝達する必要があります。
セキュリティ研究者は、リンクプレビューのなりすまし、IPアドレスの漏洩、さらにはMicrosoft内部サービスへのアクセスに悪用される可能性のある4つの個別の脆弱性をチームで発見したようです。
4つの主要な脆弱性がまだ野生で悪用されています
ブログ投稿によると、 Positive Securityの専門家は、TeamsとElectronで同一生成元ポリシー(SOP)を回避する方法を探しているときに、これらの脆弱性に遭遇しました。
この用語に慣れていない場合に備えて、SOPはブラウザにあるセキュリティメカニズムであり、Webサイトが相互に攻撃するのを防ぐのに役立ちます。
このデリケートな問題を調査したところ、研究者は、アプリ内リンクプレビュー機能を悪用することで、TeamsのSOPを回避できることを発見しました。
実際、これは、クライアントがランディングページのリンクプレビューを作成し、プレビュー画像で要約テキストまたは光学式文字認識(OCR)を使用して情報を抽出できるようにすることで実現されました。
さらに、PositiveSecurityの共同創設者であるFabianBraunlineは、この機能の実装に関連のない他の脆弱性を発見しました。
Microsoft Teamsで見つかった4つの厄介なバグのうち2つは、どのデバイスでも使用でき、サーバー側のリクエストフォージェリ(SSRF)となりすましを可能にします。
他の2つはAndroidスマートフォンにのみ影響し、IPアドレスを漏洩してサービス拒否(DOS)を達成するために使用できます。
言うまでもなく、SSRFの脆弱性を悪用することで、研究者はマイクロソフトのローカルネットワークから情報を入手することができました。
同時に、なりすましエラーを使用して、フィッシング攻撃の効果を高めたり、悪意のあるリンクを隠したりすることができます。
最も厄介なDOSエラーは、攻撃者が無効なプレビューターゲットリンクを含むリンクプレビューメッセージをユーザーに送信して、TeamsAndroidアプリをクラッシュさせる可能性があることです。
残念ながら、悪意のあるメッセージでチャットまたはチャネルを開こうとすると、アプリケーションはクラッシュし続けます。
実際、Positive Securityは、バグ報奨金プログラムの一環として、3月10日にマイクロソフトに調査結果を発表しました。それ以来、テクノロジーの巨人はTeams forAndroidのIPリークの脆弱性を修正しただけです。
しかし、この紛らわしい情報が公開され、これらの脆弱性の影響がかなり明確になった今、マイクロソフトはゲームを強化し、迅速かつ効果的な修正を提供する必要があります。
Teamsでセキュリティの問題が発生しましたか?以下のコメントセクションで私たちとあなたの経験を共有してください。
コメントを残す