Microsoft обвинили в преуменьшении влияния набора удаленно эксплуатируемых уязвимостей в своем приложении Teams Communications, которое, по словам исследователя, может открыть внутренние сети организаций и утечку информации без взаимодействия с пользователем.
Инженер по безопасности Оскар Вегерис обнаружил, что можно обойти меры безопасности в Javascript-фреймворках AnglularJS и ElectronJS и внедрить код в сообщения командных чатов.
Некоторые из найденных Вегерисом ошибок позволяли удаленное выполнение кода без необходимости взаимодействия и могли быть незаметно выполнены злоумышленниками, входящими в каналы в качестве приглашенных пользователей.
Это, по словам Вегериса, могло привести к тому, что внутренние сети компаний будут скомпрометированы, а документы и сообщения пользователей в Office 365 будут перехвачены.
Он также предположил, что уязвимости могли быть червеобразными — так что они распространялись в сетях Microsoft Teams, — если получатели вредоносных сообщений автоматически перепечатывали их в своих каналах.
Используя уязвимость межсайтового скриптинга на teams.microsoft.com веб-сайт Вегерис обнаружил, что можно захватить токены единого входа (SSO) не только для команд, но и для других служб Microsoft, таких как Outlook, Skype и Office 365.
Пять ошибок удаленного выполнения кода были сообщены Microsoft в августе этого года и исправлены в конце октября.
Вегерис сказал, что Microsoft не назначала общие индексы уязвимостей и подверженности (CVE) ошибкам, поскольку у нее есть политика не делать этого с продуктами, которые автоматически обновляются.
Кроме того, в то время как Microsoft считала, что уязвимости находятся в рамках своей программы Office 365 cloud bug bounty, через три месяца после отчета Vegeris она дала им самый низкий возможный рейтинг «Важный, спуфинг», а не критический рейтинг для клиента browser Teams.
Уязвимости в настольных клиентах Teams для Windows, macOS и Linux были оценены как «критическое удаленное выполнение кода», но Вегерис сказал, что Microsoft считает, что приложение выходит за рамки программы bug bounty.
Команды стали популярным инструментом совместной работы, поскольку пандемия Covid-19 вынудила миллионы корпоративных сотрудников работать удаленно вместе с конкурентами Slack, Zoom и Google Hangouts.