Een aantal mogelijke risico’s in Microsoft Teams worden niet aangepakt omdat Microsoft ze niet als ernstig genoeg beschouwt.
De kwetsbaarheden werden in maart ontdekt door Fabian Bräulein, medeoprichter van het Duitse securitybedrijf Positive Security. Hij lichtte Microsoft in, maar slechts één van de vier problemen werden aangepakt.
Het gaat om Server-Side Request Forgery (SSRF) waardoor met een bepaalde aanval aan portscanning kan gedaan worden of HTTP-gebaseerd misbruik van webservices kan gebeuren. Een tweede probleem zit bij spoofing, waarbij een gestuurde link een preview krijgt die een dader kan namaken. Denk daarbij aan een link die bijvoorbeeld de website van je bank lijkt te tonen, en in werkelijkheid naar een malafide site gaat. Dat kan iemand naar een phishingpagina leiden waar je wordt gevraagd om gegevens in te vullen.
Een derde probleem stelt zich bij het prijsgeven van iemands IP-adres op Android. Bij het maken van een link preview worden bepaalde zaken niet goed gecontroleerd, waardoor iemands IP-adres kan worden achterhaald. Het vierde stelt zich opnieuw bij Android en is een Denial of Service, ook wel Message of Death genoemd, waarbij de Android app kan crashen. Op de blog van Positive Security geeft de ontdekker meer details over de gevonden problemen.
Laag risico
Van die vier is enkel het probleem met het IP-adres op Android aangepakt. Van de overige drie zegt Microsoft aan Bräulein dat ze ofwel op dit moment niet worden aangepakt, of dat ze een te laag risico vormen om meteen te worden aangepakt. Zo zegt het bedrijf dat rond URL spoofing het slachtoffer zou merken dat het niet om de juiste site gaat eens hij of zij op de link klikt.
Fout opgemerkt of meer nieuws? Meld het hier