Cuatro vulnerabilidades en Microsoft Teams expusieron la plataforma desde marzo
Cuatro vulnerabilidades en Microsoft Teams, sin parches desde marzo, permitieron la suplantación de enlaces de URLs. Asimismo, abrieron la puerta a ataques DoS contra usuarios de Android, según revelaron recientemente un grupo de investigadores.
Los investigadores de Positive Security descubrieron cuatro vulnerabilidades en la plataforma a principios de este año y le reportaron a Microsoft sobre los problemas el 10 de marzo. Hasta ahora, solo una de las vulnerabilidades, un error que permite a los atacantes filtrar direcciones IP de Android, parece haber sido reparado por la empresa. Esto según las afirmaciones del investigador Fabian Bräunlein en una publicación realizada el miércoles.
Microsoft Teams es una herramienta colaborativa que ayuda a las personas que trabajan en diferentes ubicaciones geográficas a trabajar juntas en línea. Por esta razón, el uso de la plataforma de Teams ha aumentado durante la pandemia, lo que la convierte en un objetivo cada vez más atractiva para los ciberdelincuentes.
Vulnerabilidades encontradas “fortuitamente”
Los investigadores de Positive Security “tropezaron” con las vulnerabilidades cuando buscaban una manera de evadir la Política del Mismo Origen (SOP) de Electron de Teams. SOP es un mecanismo de seguridad de los navegadores que tiene como objetivo evitar que los sitios web se ataquen entre sí.
Los investigadores descubrieron que una forma potencial de evadir SOP en Teams es abusar de la función de vista previa del enlace al permitir que el cliente genere una vista previa del enlace para la página de destino. Posteriormente se debe usar el texto de resumen o realizar el reconocimiento óptico de caracteres (OCR) en la imagen de vista previa para extraer información.
“En Teams, Microsoft genera esta vista previa en el servidor”, algo que es posible porque no existe un cifrado de extremo a extremo, explicó Bräunlein. Esto significa que no se puede abusar de la función para filtrar información de la red local del usuario, por ejemplo, el servidor de depuración Node.js, dijo.
“Sin embargo, mientras investigaba esta característica, me encontré con algunas vulnerabilidades no relacionadas en su implementación”, dijo Bräunlein.
Desglose de las vulnerabilidades
Dos de las cuatro vulnerabilidades descubiertas afectaron el uso de Microsoft Teams en cualquier dispositivo. Y, permiten la falsificación de solicitudes del lado del servidor (SSRF) y suplantación. Las otras dos, denominadas “Fuga de direcciones IP” y “Denegación de servicio, también conocido como Mensaje de muerte” por los investigadores, afectan solo a los usuarios de Android.
La vulnerabilidad SSRF permitió a los investigadores filtrar información de la red local de Microsoft y fue descubierta cuando testearon el punto final /urlp/v1/url/info
para SSRF.
La URL no se filtra, lo que genera una SSRF limitada (tiempo de respuesta, código, tamaño y datos de gráficos abiertos filtrados). No obstante, se puede usar para escanear puertos internos y enviar exploits basados en HTTP a los servicios web descubiertos.