Microsoft, Microsoft Team’in Mart 2021’den bu yana bildirilen bağlantı önizleme özelliğini etkileyen çeşitli güvenlik kusurları için düzeltme eklerini veya yamalarını geciktirmediğini söyledi.
Alman BT güvenlik danışmanlık firması Positive Security’nin kurucu ortağı Fabian Bräunlein, Sunucu Tarafı İstek Sahteciliğine (SSRF), URL önizleme sahtekarlığına, IP adresi sızıntısına (Android) ve Ölüm Mesajı (Android) olarak adlandırılan hizmet reddine (DoS) yol açan dört güvenlik açığı keşfetti. ).
Bräunlein, Microsoft ürünleri ve hizmetleriyle ilgili güvenlik açığı raporlarını araştıran Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) bu dört kusuru bildirdi.
“Güvenlik açıkları, dahili Microsoft hizmetlerine erişmeye, bağlantı önizlemesini yanıltmaya ve Android kullanıcıları için IP adreslerini sızdırmaya ve Teams uygulamalarını/kanallarını DoS’lemeye izin veriyor.” araştırmacı dedi.
Microsoft, dört güvenlik açığından yalnızca saldırganların Android cihazları kullanıyorlarsa hedeflerin IP adreslerine erişmek için kullanabileceklerini ele aldı.
Diğer hatalarla ilgili olarak Microsoft, SSRF’yi mevcut sürümde düzeltmeyeceklerini, DoS için bir düzeltmenin gelecekteki bir sürümde düşünüleceğini söyledi.
Kullanıcıları kimlik avına maruz bırakan hata, yama uygulanmadan bırakıldı
Tehdit aktörlerinin kimlik avı saldırıları veya kötü amaçlı bağlantıları kamufle etmek için kullanabileceği URL ön izleme sahtekarlığı hatası, Teams kullanıcıları için herhangi bir tehlike oluşturmadığı şeklinde etiketlendi.
“MSRC bu sorunu araştırdı ve bunun acil dikkat gerektiren acil bir tehdit oluşturmadığı sonucuna vardı, çünkü kullanıcı URL’yi tıkladığında, bu kötü amaçlı URL’ye gitmek zorunda kalacaktı, bu da kullanıcının değil. bekliyordum,” dedi Microsoft.
Araştırmacılar, “Keşfedilen güvenlik açıklarının sınırlı bir etkisi olsa da, hem bu kadar basit saldırı vektörlerinin görünüşte daha önce test edilmemiş olması hem de Microsoft’un kullanıcılarını bunlardan korumak için istekli veya kaynaklara sahip olmaması şaşırtıcı” dedi.
Video: Pozitif Güvenlik
Şirketin kimlik avı kampanyalarında kötüye kullanılabilecek kimlik sahtekarlığı hatasını ele almama kararı, kullanıcıları URL tabanlı kimlik avı saldırılarından korumak için Defender for Office 365 Güvenli Bağlantılar korumasını kullanan Teams tarafından kısmen açıklanmaktadır. Temmuz’dan beri.
Güvenli Bağlantılar koruması tüm Teams kullanıcıları tarafından kullanılabilir ve konuşmalar, grup sohbetleri ve Teams kanalları arasında paylaşılan bağlantılar için çalışır, ancak yine de Microsoft 365 Defender portalı.