Los investigadores de seguridad han descubierto cuatro vulnerabilidades diferentes en Microsoft Teams que podrían ser aprovechadas por atacantes para falsificar vistas previas de enlaces, filtrar direcciones IP e incluso acceder a los servicios internos del gigante del software.
Esos descubrimientos fueron realizados por los investigadores de Positive Security quienes se "tropezaron" con ellos mientras buscaban una forma de eludir la Política de Mismo Origen (SOP) en Teams y Electron, según una nueva publicación del blog. Para los que no estén familiarizados, la SOP es un mecanismo de seguridad que se encuentra en los navegadores y que ayuda a evitar que los sitios web se ataquen entre sí.
Durante su investigación, los investigadores encontraron que podían eludir el SOP en Teams abusando de la función de previsualización de enlaces en el software de videoconferencia de Microsoft, permitiendo que el cliente genere una vista previa de enlaces para la página de destino y luego utilizando texto resumido o reconocimiento óptico de caracteres (OCR) en la imagen de previsualización para extraer información.
Sin embargo, al hacer esto, el cofundador de Positive Security, Fabian Bräunlein, encontró otras vulnerabilidades no relacionadas en la implementación de la función.
De los cuatro fallos encontrados por Bräunlein en Teams, dos pueden utilizarse en cualquier dispositivo y permiten la falsificación de peticiones del lado del servidor (SSRF) y la suplantación de identidad, mientras que los otros dos sólo afectan a los smartphones Android y pueden explotarse para filtrar direcciones IP y lograr la denegación de servicio (DOS).
Al explotar la vulnerabilidad SSRF, los investigadores pudieron filtrar información de la red local de Microsoft. Mientras tanto, el fallo de suplantación puede utilizarse para mejorar la eficacia de los ataques de phishing o para ocultar enlaces maliciosos.
El fallo de DOS es especialmente preocupante, ya que un atacante puede enviar a un usuario un mensaje que incluya una vista previa del enlace con un destino de enlace de vista previa no válido (por ejemplo, "boom" en lugar de "https://…") para bloquear la aplicación Teams para Android. Desgraciadamente, la aplicación seguirá fallando cuando se intente abrir el chat o el canal con el mensaje malicioso.
Positive Security reveló responsablemente sus hallazgos a Microsoft el 10 de marzo a través de su programa de recompensas por errores. Sin embargo, en el tiempo transcurrido desde entonces, el gigante del software sólo ha parcheado la vulnerabilidad de fuga de direcciones IP en Teams para Android. Ahora que Positive Security ha revelado públicamente sus hallazgos, Microsoft podría tener que parchear las tres vulnerabilidades restantes a pesar de que dijo a los investigadores que no suponían una amenaza inmediata para sus usuarios.