In maart dit jaar ontdekte Fabian Bräulein, medeoprichter van het Duitse Positive Security, enkele kwetsbaarheden in Microsoft Teams. Microsoft vindt de problemen echter niet ernstig genoeg, waardoor ze onopgelost blijven.
In maart dit jaar werd Microsoft door Positive Security ingelicht over enkele kwetsbaarheden in Microsoft Teams. Tot nog toe pakte het bedrijf de meeste problemen niet aan wegens “niet ernstig genoeg”. Enkel het prijsgeven van IP-adressen op Android loste Microsoft meteen op.
SSRF en spoofing
Eerst en vooral gaat het om een Server-Side Request Forgery (SSRF) waardoor criminelen aan portscanning kunnen doen of HTTP-gebaseerd misbruik kunnen maken van webservices.
Het tweede probleem duidt op spoofing. Hierbij kunnen daders de preview van een link namaken, waardoor een link naar een malafide site legitiem lijkt te zijn. Op die manier leiden cybercriminelen je naar een phishingpagina om je gegevens te verkrijgen.
IP-adres en Denial of Service
Bij het maken van zo een preview, wordt niet alles even goed gecontroleerd. Hierdoor kunnen cybercriminelen ook iemands IP-adres achterhalen op Android. Tot slot zorgt een DoS-probleem ervoor dat Microsoft Teams volledig kan crashen op Android na het openen van een malafide link.
Microsoft pakte tot nog toe enkel het IP-probleem aan. De andere drie kwetsbaarheden vormen op dit moment een te laag risico volgens het bedrijf.