[[441775]]

12月22日bleepingcomputer消息，自今年3月以來(lái)，就有報(bào)道稱(chēng) Microsoft Teams 鏈接預(yù)覽功能存在一些安全漏洞，但微軟卻表示不會(huì)修復(fù)或者推遲這些漏洞的修補(bǔ)計(jì)劃。

這些安全漏洞由德國(guó) IT 安全咨詢(xún)公司 Positive Security 聯(lián)合創(chuàng)始人 Fabian Bräunlein 發(fā)現(xiàn)，分別是服務(wù)器端請(qǐng)求偽造 (SSRF)漏洞、URL 預(yù)覽欺騙漏洞、IP 地址泄漏 (Android) 漏洞和被稱(chēng)為死亡消息 (Android) 的拒絕服務(wù) (DoS) 漏洞。

Bräunlein 向 Microsoft 安全響應(yīng)中心 (MSRC) 報(bào)告了四個(gè)漏洞，該中心負(fù)責(zé)調(diào)查有關(guān) Microsoft 產(chǎn)品及服務(wù)的漏洞報(bào)告。

“這些漏洞允許訪(fǎng)問(wèn)微軟內(nèi)部服務(wù)，欺騙鏈接預(yù)覽，并且，對(duì)于Android用戶(hù)來(lái)說(shuō)，泄露他們的IP地址和破壞他們的Teams應(yīng)用程序/渠道，”研究人員說(shuō)。

在這四個(gè)漏洞中，微軟只解決了IP 地址泄漏 (Android) 漏洞，對(duì)于其他漏洞，微軟表示他們并未在當(dāng)前版本中修復(fù) SSRF，而 DoS 也是計(jì)劃在未來(lái)版本中考慮修復(fù)。

使用戶(hù)暴露于網(wǎng)絡(luò)釣魚(yú)的漏洞未被修補(bǔ)

至于URL預(yù)覽欺騙漏洞，雖然被標(biāo)記為不會(huì)對(duì) Teams 用戶(hù)構(gòu)成任何危險(xiǎn)，但威脅者可以利用該漏洞偽裝成惡意鏈接，進(jìn)行釣魚(yú)攻擊。

微軟表示：“MSRC 調(diào)查了這個(gè)問(wèn)題并得出結(jié)論，認(rèn)為這不會(huì)構(gòu)成直接威脅，不需要緊急關(guān)注。因?yàn)橐坏┯脩?hù)點(diǎn)擊 URL，他們將不得不轉(zhuǎn)到那個(gè)惡意 URL，這將是一個(gè)免費(fèi)的樣品，用戶(hù)能看到不是其想打開(kāi)的鏈接應(yīng)該不會(huì)上當(dāng)。”

研究人員補(bǔ)充說(shuō)：“雖然所發(fā)現(xiàn)的漏洞影響有限，但令人驚訝的是，如此簡(jiǎn)單的攻擊載體以前似乎沒(méi)有被測(cè)試過(guò)，而且微軟沒(méi)有意愿或資源來(lái)保護(hù)他們的用戶(hù)免受其害。”

自 7 月以來(lái)，Teams 還使用 Defender for Office 365 安全鏈接保護(hù)，來(lái)保護(hù)用戶(hù)免受基于 URL 的網(wǎng)絡(luò)釣魚(yú)攻擊，這在一定程度上解釋了該公司決定不解決可能在網(wǎng)絡(luò)釣魚(yú)活動(dòng)中濫用的欺騙漏洞。

雖然安全鏈接保護(hù)對(duì)所有Teams用戶(hù)都可用，并且適用于跨對(duì)話(huà)、群組聊天和Teams渠道共享的鏈接，但它仍然需要通過(guò)在Microsoft 365 Defender門(mén)戶(hù)中設(shè)置安全鏈接策略來(lái)啟用。

參考來(lái)源：

https://www.bleepingcomputer.com/news/security/microsoft-teams-bug-allowing-phishing-unpatched-since-march/