Microsoft dijo que no parchará hasta principios de marzo, tres de las cuatro fallas de seguridad descubiertas en su plataforma de comunicación comercial Teams.
La revelación proviene de la firma de ciberseguridad con sede en Berlín Positive Security, que descubrió que la implementación de la función de vista previa de enlaces era susceptible a una serie de problemas que podrían "permitir acceder a los servicios internos de Microsoft, falsificar la vista previa del enlace y, para los usuarios de Android, filtrar su dirección IP y doS'ing su aplicación / canales de Teams".
Copias de seguridad automáticas de GitHub
De las cuatro vulnerabilidades, se dice que Microsoft ha abordado solo una que resulta en la fuga de direcciones IP de los dispositivos Android, y el gigante tecnológico señaló que se considerará una solución para la falla de denegación de servicio (DoS) en una versión futura del producto. Los problemas se revelaron responsablemente a la compañía el 10 de marzo de 2021.
Vulnerabilidades de Microsoft Teams
El principal de los fallos es una vulnerabilidad de falsificación de solicitudes del lado del servidor(SSRF)en el punto final "/urlp/v1/url/info" que podría explotarse para obtener información de la red local de Microsoft. También se descubrió un error de suplantación de identidad en el que el objetivo del enlace de vista previa se puede modificar para apuntar a cualquier URL maliciosa mientras se mantiene intacto el enlace principal, la imagen de vista previa y la descripción, lo que permite a los atacantes ocultar enlaces maliciosos y organizar ataques de phishing mejorados.
Evite las violaciones de datos
La vulnerabilidad DoS, que afecta a la versión Android de Teams, podría provocar que la aplicación se bloquee simplemente enviando un mensaje con una vista previa de vínculo especialmente diseñada que contenga un destino no válido en lugar de una URL legítima. El último de los problemas se refiere a una fuga de dirección IP, que también afecta a la aplicación de Android. Al interceptar mensajes que incluyen una vista previa del enlace para apuntar la URL en miniatura a un dominio que no es de Microsoft, Positive Security dijo que es posible obtener acceso a la dirección IP de un usuario y a los datos del agente de usuario.
"Si bien las vulnerabilidades descubiertas tienen un impacto limitado, es sorprendente que estos vectores de ataque simples aparentemente no se hayan probado antes, y que Microsoft no tenga la voluntad o los recursos para proteger a sus usuarios de ellos", dijo el cofundador de Positive Security, Fabian Bräunlein.
