Microsoft a déclaré qu’il ne corrigerait pas ou qu’il retardait les correctifs pour plusieurs failles de sécurité affectant la fonction de prévisualisation des liens de l’équipe Microsoft signalée depuis mars 2021.
Fabian Bräunlein, co-fondateur de la société de conseil en sécurité informatique allemande, Fabian Bräunlein, a découvert quatre vulnérabilités menant à la falsification des demandes côté serveur (SSRF), à l’usurpation d’aperçu d’URL, à la fuite d’adresse IP (Android) et au déni de service (DoS) surnommé Message of Death (Android ).
Bräunlein a signalé les quatre failles au Microsoft Security Response Center (MSRC), qui enquête sur les rapports de vulnérabilité concernant les produits et services Microsoft.
« Les vulnérabilités permettent d’accéder aux services internes de Microsoft, d’usurper l’aperçu du lien et, pour les utilisateurs d’Android, de divulguer leur adresse IP et de faire DoS leur application/canaux Teams » le chercheur a dit.
Sur les quatre vulnérabilités, Microsoft n’a abordé que celle que les attaquants pourraient utiliser pour accéder aux adresses IP des cibles s’ils utilisaient des appareils Android.
Concernant les autres bugs, Microsoft a déclaré qu’il ne corrigerait pas le SSRF dans la version actuelle, tandis qu’un correctif pour le DoS sera envisagé dans une future version.
Bug exposant les utilisateurs au phishing non corrigé
Le bug d’usurpation d’URL que les acteurs malveillants pourraient utiliser pour des attaques de phishing ou pour camoufler des liens malveillants a été signalé comme ne présentant aucun danger pour les utilisateurs de Teams.
« MSRC a enquêté sur ce problème et a conclu que cela ne constitue pas une menace immédiate nécessitant une attention urgente, car une fois que l’utilisateur a cliqué sur l’URL, il devrait accéder à cette URL malveillante, ce qui indiquerait que ce n’est pas celle de l’utilisateur. attendait », a déclaré Microsoft.
« Bien que les vulnérabilités découvertes aient un impact limité, il est surprenant à la fois que des vecteurs d’attaque aussi simples n’aient apparemment pas été testés auparavant et que Microsoft n’ait pas la volonté ou les ressources nécessaires pour en protéger les utilisateurs », ont ajouté les chercheurs.
Vidéo: Sécurité positive
La décision de l’entreprise de ne pas traiter le bug d’usurpation d’identité qui pourrait être abusé dans les campagnes de phishing s’explique en partie par le fait que Teams utilise également la protection Defender for Office 365 Safe Links pour protéger les utilisateurs contre les attaques de phishing basées sur les URL depuis juillet.
Bien que la protection des liens sécurisés soit disponible pour tous les utilisateurs de Teams et fonctionne pour les liens partagés entre les conversations, les discussions de groupe et les canaux Teams, elle doit toujours être activée en configurant une stratégie de liens sécurisés dans le Portail Microsoft 365 Defender.