Les groupes Microsoft peuvent éventuellement avoir plusieurs problèmes de stabilité critiques

Les scientifiques de la sécurité ont découvert 4 vulnérabilités individuelles dans Microsoft Teams qui pourraient être exploitées par un attaquant pour usurper les aperçus de connexion, divulguer des adresses IP et même accéder aux produits et services intérieurs du géant du logiciel.

Ces découvertes ont été faites par des chercheurs de Beneficial Safety qui les ont « trébuchées » lorsqu’ils cherchaient un moyen de contourner le plan d’origine similaire (SOP) dans Teams et Electron conformément à un nouvel article de blog. Pour les personnes inconnues, SOP est un mécanisme de sécurité découvert dans les navigateurs qui peut aider à empêcher les sites Web de s’attaquer les uns aux autres.

Au cours de leur enquête sur la différence, les chercheurs ont découvert qu’ils pouvaient contourner le SOP dans les groupes en abusant de la caractéristique d’aperçu de lien dans le logiciel de visioconférence en ligne de Microsoft en permettant à l’acheteur de créer un aperçu de lien pour la page du site Web cible, puis de travailler avec éventuellement un texte de synthèse ou une reconnaissance optique de caractères (OCR) sur l’impression d’aperçu pour extraire des informations et des faits.

Cependant, en accomplissant cela, le co-fondateur de Beneficial Safety, Fabian Bräunlein, a découvert d’autres vulnérabilités sans rapport dans la mise en œuvre de la fonctionnalité.

Vulnérabilités Microsoft Teams

Sur les 4 bogues que Bräunlein a trouvés dans les groupes, deux peuvent être utilisés sur n’importe quel système et permettre la falsification de requêtes côté serveur (SSRF) et l’usurpation d’identité, même si les deux autres n’ont d’impact que sur les smartphones Android et peuvent être exploités pour divulguer des adresses IP et obtenir un déni de Assistance (DOS).

En exploitant la vulnérabilité SSRF, les chercheurs ont été équipés pour divulguer des informations du réseau régional de Microsoft. Pendant ce temps, le bogue d’usurpation d’identité peut être utilisé pour améliorer l’utilité des attaques de phishing ou pour couvrir des liens destructeurs.

Le bogue DOS est d’autant plus préoccupant qu’un attaquant peut envoyer à une personne un concept qui consiste en un aperçu de lien hypertexte avec une cible de connexion d’aperçu invalide (par occasion « boum » à la place de « https://… ») pour faire planter l’application Groupes Pour Android. Malheureusement, l’application continuera à planter lorsqu’elle tentera d’ouvrir le chat ou le canal avec les informations malveillantes.

Beneficial Safety a divulgué de manière responsable ses conclusions à Microsoft le 10 mars via son logiciel de prime aux bogues. Cela dit, depuis lors, le logiciel énorme n’a corrigé que l’accord IP avec la vulnérabilité de fuite dans les groupes pour Android. Maintenant que Positive Stability a divulgué publiquement ses conclusions, Microsoft devra peut-être corriger les 3 vulnérabilités restantes tout en informant les chercheurs qu’ils ne devraient pas constituer une menace rapide pour ses consommateurs.

Nous avons également arrondi le la sécurité la plus efficace contre le vol d’identité, pare-feu idéal et meilleur logiciel de suppression de malware

Via le poste de menace