12月22日bleepingcomputer信息,自2022年3月至今,就会有报导称 Microsoft Teams 连接浏览作用存有一些安全漏洞,但微软公司却表明不容易修补或是推迟这种系统漏洞的修复计划。
这种安全漏洞由德国 IT 安全性咨询公司 Positive Security 联合创始人 Fabian Bräunlein 发觉,分别是服务端要求仿冒 (SSRF)系统漏洞、URL 浏览蒙骗系统漏洞、IP 详细地址泄露 (Android) 系统漏洞和被称作身亡信息 (Android) 的拒绝服务攻击 (DoS) 系统漏洞。
Bräunlein 向 Microsoft 安全性回应核心 (MSRC) 汇报了四个系统漏洞,该核心承担调研相关 Microsoft 商品及服務的系统漏洞汇报。
“这种系统漏洞容许浏览微软公司内部结构服务项目,蒙骗连接浏览,而且,针对Android客户而言,泄漏她们的IP地址和毁坏她们的Teams应用软件/方式,”科学研究工作人员说。
在这里四个系统漏洞中,微软公司只解决了IP 详细地址泄露 (Android) 系统漏洞,针对别的系统漏洞,微软公司表明她们并没有在当下游戏版本中修补 SSRF,而 DoS 也是计划在未来版本号中考虑到修补。
使客户曝露于钓鱼攻击的系统漏洞未被修复
对于URL浏览蒙骗系统漏洞,尽管被标识为不可能对 Teams 客户组成一切风险,但危害者可以使用该系统漏洞装扮成故意连接,开展中间人攻击。
微软公司表明:“MSRC 调研了这个问题并得出以下结论:,觉得这不容易组成立即危害,不用应急关心。由于一旦客户点一下 URL,她们将迫不得已转到那一个故意 URL,这将是一个完全免费的试品,客户能见到并不是其想开启的连接应当不容易上当受骗。”
科学研究工作人员填补说:“尽管所看到的缺陷危害比较有限,但让人诧异的是,如此简洁的进攻媒介之前好像沒有被检测过,并且微软公司沒有意向或資源来维护她们的客户免遭其害。”
自 7 月至今,Teams 还应用 Defender for Office 365 安全性连接维护,来保护客户免遭根据 URL 的互联网中间人攻击,这在一定水平上表述了该企业决策不处理很有可能在钓鱼攻击主题活动中乱用的蒙骗系统漏洞。
尽管安全性连接维护对全部Teams客户都可以用,而且适用跨会话、群聊闲聊和Teams方式分享的连接,但它依然必须根据在Microsoft 365 Defender门户网中设定安全性连接对策来开启。
参照来源于:
https://www.bleepingcomputer.com/news/security/microsoft-teams-bug-allowing-phishing-unpatched-since-march/