Microsoft dijo que no arreglará ni enviará parches a una fecha posterior para tres de las cuatro fallas de seguridad que reveló en su sistema de comunicaciones comerciales Teams a principios de marzo.
La revelación proviene de Positive Cyber Security Company con sede en Berlín. han encontrado Esa implementación de la función de vista previa del enlace estaba sujeta a una serie de problemas que podrían «permitir el acceso a los servicios internos de Microsoft, la suplantación de la vista previa del enlace, filtrar su dirección IP a los usuarios de Android y DoS en sus aplicaciones / canales de Teams».
De las cuatro vulnerabilidades, se dice que Microsoft ha abordado solo una que conduce a fugas de direcciones IP de dispositivos Android, y el gigante tecnológico indicó que se considerará una falla de denegación de servicio (DoS) en una versión futura del producto. Los problemas se comunicaron responsablemente a la empresa el 10 de marzo de 2021.
Entre las desventajas se encuentra la falsificación de solicitudes del lado del servidor (SSRFLa vulnerabilidad en el endpoint “/ urlp / v1 / url / info” que podría explotarse para recopilar información de la red local de Microsoft. También se detectó un error de phishing donde el objetivo del enlace de vista previa se puede cambiar para que apunte a cualquier URL maliciosa mientras se mantiene el enlace principal, la vista previa de la imagen y la descripción iguales, lo que permite a los atacantes disfrazar enlaces maliciosos y realizar ataques de phishing mejorados.
La vulnerabilidad DoS, que afecta a la versión de Android de Teams, podría hacer que la aplicación se bloquee simplemente enviando un mensaje con una vista previa de un enlace especialmente diseñado que contiene un objetivo no válido en lugar de una URL legítima. Los últimos problemas están relacionados con la fuga de direcciones IP, que también afecta a la aplicación de Android. Al interceptar mensajes que incluyen una vista previa del enlace para dirigir la mini URL a un dominio que no es de Microsoft, Positive Security dijo que era posible acceder a la dirección IP de un usuario y a los datos del agente del usuario.
«Si bien las vulnerabilidades descubiertas tienen un impacto limitado, es sorprendente que estos vectores de ataque aparentemente simples no se hayan probado antes y que Microsoft no tenga el deseo ni los recursos para proteger a sus usuarios de ellos», dijo el cofundador de Positive Security, Fabian Bräunlein. .
