freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Microsoft Teams 允许网络钓鱼漏洞,自3月至今未被修复
2021-12-23 13:42:59
所属地 上海

12月22日bleepingcomputer消息,自今年3月以来,就有报道称 Microsoft Teams 链接预览功能存在一些安全漏洞,但微软却表示不会修复或者推迟这些漏洞的修补计划。

这些安全漏洞由德国 IT 安全咨询公司 Positive Security 联合创始人 Fabian Bräunlein 发现,分别是服务器端请求伪造 (SSRF)漏洞、URL 预览欺骗漏洞、IP 地址泄漏 (Android) 漏洞和被称为死亡消息 (Android) 的拒绝服务 (DoS) 漏洞。

Bräunlein 向 Microsoft 安全响应中心 (MSRC) 报告了四个漏洞,该中心负责调查有关 Microsoft 产品及服务的漏洞报告。

“这些漏洞允许访问微软内部服务,欺骗链接预览,并且,对于Android用户来说,泄露他们的IP地址和破坏他们的Teams应用程序/渠道,”研究人员说。

在这四个漏洞中,微软只解决了IP 地址泄漏 (Android) 漏洞,对于其他漏洞,微软表示他们并未在当前版本中修复 SSRF,而 DoS 也是计划在未来版本中考虑修复。

使用户暴露于网络钓鱼的漏洞未被修补

至于URL预览欺骗漏洞,虽然被标记为不会对 Teams 用户构成任何危险,但威胁者可以利用该漏洞伪装成恶意链接,进行钓鱼攻击。

微软表示:“MSRC 调查了这个问题并得出结论,认为这不会构成直接威胁,不需要紧急关注。因为一旦用户点击 URL,他们将不得不转到那个恶意 URL,这将是一个免费的样品,用户能看到不是其想打开的链接应该不会上当。”

研究人员补充说:“虽然所发现的漏洞影响有限,但令人惊讶的是,如此简单的攻击载体以前似乎没有被测试过,而且微软没有意愿或资源来保护他们的用户免受其害。”

自 7 月以来,Teams 还使用 Defender for Office 365 安全链接保护,来保护用户免受基于 URL 的网络钓鱼攻击,这在一定程度上解释了该公司决定不解决可能在网络钓鱼活动中滥用的欺骗漏洞。

虽然安全链接保护对所有Teams用户都可用,并且适用于跨对话、群组聊天和Teams渠道共享的链接,但它仍然需要通过在Microsoft 365 Defender门户中设置安全链接策略来启用。

参考来源:https://www.bleepingcomputer.com/news/security/microsoft-teams-bug-allowing-phishing-unpatched-since-march/

# 网络钓鱼 # 数据安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者