Investigadores de ciberseguridad han descubierto cuatro vulnerabilidades serias en Microsoft Teams. Estos fallos de seguridad podrían ser explotados por un atacante para falsear las vistas previas de los enlaces, filtrar direcciones IP e incluso acceder a los servicios internos de Microsoft.
Los investigadores de Positive Security "tropezaron" con estos agujeros mientras buscaban una forma de eludir la Política de Mismo Origen (SOP) en Teams y Electron, según lo que han publicado en su blog (vía Threatpost). Para los que no estén familiarizados, SOP es un mecanismo de seguridad de los navegadores para impedir que los sitios web se ataquen entre sí.
Durante su investigación, los expertos de Positive Security afirman que descubrieron que podían eludir el SOP en Teams abusando de la función de vista previa de enlaces, permitiendo que el cliente generara una vista previa del enlace para la página de destino y utilizando el texto resumido o el reconocimiento óptico de caracteres (OCR) en la imagen de vista previa para extraer información para el ataque.
En el proceso, el cofundador de Positive Security, Fabian Bräunlein, asegura que encontró otras vulnerabilidades no relacionadas en la implementación de esta función.
Las vulnerabilidades de Microsoft Teams
De los cuatro fallos encontrados por Bräunlein en Teams, dos pueden utilizarse en cualquier dispositivo y permiten la falsificación de peticiones desde el lado del servidor (SSRF) y la suplantación de identidad. Los otros dos sólo afectan a los smartphones Android y pueden explotarse para filtrar direcciones IP y realizar un ataque de denegación de servicio (DOS).
Los investigadores pudieron filtrar información de la red local de Microsoft usando la vulnerabilidad SSRF.
El fallo de spoofing puede utilizarse para mejorar la eficacia de los ataques de phishing o para ocultar enlaces maliciosos.
El problema con el ataque DOS es especialmente preocupante, ya que un agente externo puede enviar a un usuario un mensaje que incluya una vista previa del enlace con un objetivo de enlace de vista previa no válido (por ejemplo, "boom" en lugar de "https://...") para bloquear la aplicación Teams para Android. Lo peor es que la aplicación seguirá fallando cuando se intente abrir el chat o el canal en el que está el mensaje envenenado.
Positive Security comunicó sus hallazgos a Microsoft el 10 de marzo a través de su programa de recompensas por errores. El problema es que, durante los meses transcurridos desde entonces, los ingenieros de Redmond sólo han parcheado la vulnerabilidad de fuga de direcciones IP en Teams para Android.
Por eso Positive Security parece haber revelado públicamente sus hallazgos, lo que podría impulsar a Microsoft a parchear las tres vulnerabilidades restantes a pesar de que comunicó a los investigadores que no suponían una amenaza inmediata para sus usuarios.
