Um bug antigo, que é conhecido pelo menos desde março deste ano, afeta o Microsoft Teams e permite ataques de phishing, sem correção. A Microsoft já disse que não vai consertar ou está atrasando patches para várias falhas de segurança que afetam o recurso de visualização de links do Microsoft Teams relatado desde março de 2021.
Fabian Bräunlein, cofundador da empresa de consultoria de segurança de TI alemã, descobriu quatro vulnerabilidades que levam a Server-Side Request Forgery (SSRF), spoofing de visualização de URL, vazamento de endereço IP (Android) e negação de serviço (DoS), apelidado de Mensagem da Morte (Android )
Bräunlein relatou as quatro falhas ao Centro de Resposta de Segurança da Microsoft (MSRC), que investiga relatórios de vulnerabilidade relacionados a produtos e serviços da Microsoft
“As vulnerabilidades permitem o acesso a serviços internos da Microsoft, falsificando a visualização do link e, para usuários do Android, vazando seu endereço IP e fazendo DoS’ing seus aplicativos/canais do Teams”, disse o pesquisador.
Das quatro vulnerabilidades, a Microsoft abordou apenas aquela que os invasores poderiam usar para obter acesso aos endereços IP dos alvos se eles usassem dispositivos Android. Em relação aos outros bugs, a Microsoft disse que não iria corrigir o SSRF na versão atual, enquanto uma correção para o DoS será considerada em uma versão futura.
Microsoft Teams tem bug antigo que permite phishing. Empresa não fala em corrigir o problema
O bug de spoofing de visualização de URL que os agentes de ameaças poderiam usar para ataques de phishing ou camuflagem de links maliciosos foi marcado como não representando nenhum perigo para os usuários do Teams.
“O MSRC investigou esse problema e concluiu que isso não representa uma ameaça imediata que exija atenção urgente porque, assim que o usuário clicar no URL, ele terá que ir para aquele URL malicioso, que indicaria que não é aquele do usuário estava esperando “, disse a Microsoft.
“Embora as vulnerabilidades descobertas tenham um impacto limitado, é surpreendente que esses vetores de ataque simples não tenham aparentemente sido testados antes, e que a Microsoft não tenha a vontade ou os recursos para proteger seus usuários deles”, acrescentaram os pesquisadores.
A decisão da empresa de não resolver o bug de spoofing que pode ser usado em campanhas de phishing é parcialmente explicada pelas equipes que também usam a proteção de links seguros do Defender for Office 365 para proteger os usuários de ataques de phishing baseados em URL desde julho.
Embora a proteção de Links Seguros esteja disponível para todos os usuários do Teams e funcione para links compartilhados entre conversas, chats em grupo e canais do Teams, ela ainda precisa ser habilitada pela configuração de uma política de Links Seguros no portal do Microsoft 365 Defender.
Via BleepingComputer