Microsoft dijo que no solucionará o retrasará los parches para varias fallas de seguridad que afectan la función de vista previa de enlaces de Microsoft Teams informada desde marzo de 2021.
El cofundador de la consultora de seguridad de TI alemana Positive Security, Fabian Bräunlein, descubrió cuatro vulnerabilidades que conducen a la falsificación de solicitudes del lado del servidor (SSRF), la suplantación de la vista previa de URL, la fuga de direcciones IP (Android) y la denegación de servicio (DoS) denominado Mensaje de la muerte (Android).
Bräunlein informó las cuatro fallas al Centro de Respuesta de Seguridad de Microsoft (MSRC), que investiga los informes de vulnerabilidad relacionados con los productos y servicios de Microsoft.
«Las vulnerabilidades permiten acceder a los servicios internos de Microsoft, falsificar la vista previa del enlace y, para los usuarios de Android, filtrar su dirección IP y hacer DoS en sus aplicaciones / canales de Teams», dijo el investigador.
De las cuatro vulnerabilidades, Microsoft abordó solo la que los atacantes podrían usar para obtener acceso a las direcciones IP de los objetivos si usan dispositivos Android.
Con respecto a los otros errores, Microsoft dijo que no arreglarían la SSRF en la versión actual, mientras que una solución para el DoS se considerará en una versión futura.
Error que expone a los usuarios a la suplantación de identidad (phishing) que no se corrige
El error de suplantación de la vista previa de URL que los actores de amenazas podrían usar para ataques de phishing o camuflar enlaces maliciosos se etiquetó como que no representa ningún peligro para los usuarios de Teams.
«MSRC ha investigado este problema y ha llegado a la conclusión de que no representa una amenaza inmediata que requiera atención urgente porque una vez que el usuario hace clic en la URL, tendría que ir a esa URL maliciosa, lo que sería un indicio de que no es el usuario. estaba esperando «, dijo Microsoft.
«Si bien las vulnerabilidades descubiertas tienen un impacto limitado, es sorprendente tanto que estos vectores de ataque simples aparentemente no hayan sido probados antes como que Microsoft no tenga la voluntad o los recursos para proteger a sus usuarios de ellos», agregaron los investigadores.
La decisión de la compañía de no abordar el error de suplantación de identidad que podría abusarse en las campañas de suplantación de identidad se explica parcialmente por los equipos que también utilizan la protección de Vínculos seguros de Defender para Office 365 para proteger a los usuarios de los ataques de suplantación de identidad basados en URL desde julio.
Si bien la protección de Vínculos seguros está disponible para todos los usuarios de Teams y funciona para los vínculos compartidos entre conversaciones, chats grupales y canales de Teams, aún debe habilitarse mediante la configuración de una política de Vínculos seguros en el portal de Microsoft 365 Defender.
