Bug do Microsoft Teams que permite phishing sem correção desde março
A Microsoft disse que não vai consertar ou está atrasando patches para várias falhas de segurança que afetam o recurso de visualização de links do Microsoft Teams relatado desde março de 2021.
Fabian Bräunlein, cofundador da empresa de consultoria de segurança de TI alemã, Fabian Bräunlein, descobriu quatro vulnerabilidades que levam a Server-Side Request Forgery (SSRF), spoofing de visualização de URL, vazamento de endereço IP (Android) e negação de serviço (DoS), apelidado de Mensagem da Morte (Android )
Bräunlein relatou as quatro falhas ao Centro de Resposta de Segurança da Microsoft (MSRC), que investiga relatórios de vulnerabilidade relacionados a produtos e serviços da Microsoft
"As vulnerabilidades permitem o acesso a serviços internos da Microsoft, falsificando a visualização do link e, para usuários do Android, vazando seu endereço IP e fazendo DoS'ing seus aplicativos / canais do Teams", disse o pesquisador .
Das quatro vulnerabilidades, a Microsoft abordou apenas aquela que os invasores poderiam usar para obter acesso aos endereços IP dos alvos se eles usassem dispositivos Android.
Em relação aos outros bugs, a Microsoft disse que não iria corrigir o SSRF na versão atual, enquanto uma correção para o DoS será considerada em uma versão futura.
Bug que expõe usuários a phishing não corrigido
O bug de spoofing de visualização de URL que os agentes de ameaças poderiam usar para ataques de phishing ou camuflagem de links maliciosos foi marcado como não representando nenhum perigo para os usuários do Teams.
"O MSRC investigou esse problema e concluiu que isso não representa uma ameaça imediata que exija atenção urgente porque, assim que o usuário clicar no URL, ele terá que ir para aquele URL malicioso, que indicaria que não é aquele do usuário estava esperando ", disse a Microsoft.
“Embora as vulnerabilidades descobertas tenham um impacto limitado, é surpreendente que esses vetores de ataque simples não tenham aparentemente sido testados antes, e que a Microsoft não tenha a vontade ou os recursos para proteger seus usuários deles”, acrescentaram os pesquisadores.
A decisão da empresa de não resolver o bug de spoofing que pode ser abusado em campanhas de phishing é parcialmente explicada pelas equipes que também usam a proteção de links seguros do Defender for Office 365 para proteger os usuários de ataques de phishing baseados em URL desde julho .
Embora a proteção de Links Seguros esteja disponível para todos os usuários do Teams e funcione para links compartilhados entre conversas, chats em grupo e canais do Teams, ela ainda precisa ser habilitada pela configuração de uma política de Links Seguros no portal do Microsoft 365 Defender .
Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Fonte: https://www.bleepingcomputer.com
Postar um comentário