Microsoft Office 365 was door een lek in Microsoft Teams kwetsbaar voor een netwerkaanval waarbij een aanvaller in bepaalde gevallen toegang tot accounts van gebruikers had kunnen krijgen. Dat ontdekte beveiligingsonderzoeker Dirk-jan Mollema van securitybedrijf Fox-IT. Microsoft heeft de kwetsbaarheid inmiddels verholpen waarop Mollema maandag de details openbaar maakte.

Microsoft Teams is een communicatieplatform dat verschillende functionaliteiten combineert, zoals chat, videomeetings, bestandsopslag en applicatie-intergratie. De dienst is vanuit Office 365 te gebruiken. Wanneer een Office 365-applicatie een gebruiker wil authenticeren wordt de gebruiker naar de centrale Microsoft-inlogpagina doorgestuurd. In de url die hiervoor wordt gebruikt is de unieke applicatie-ID aanwezig en een url om de gebruiker na het authenticeren terug te sturen.

Wanneer de gebruiker is geauthenticeerd wordt de toegangstoken aan de url toegevoegd en gebruikt om de gebruiker terug naar de applicatie te sturen. Door de manier waarop het toegangstoken aan de url wordt toegevoegd is het voor JavaScript op de pagina toegankelijk, zodat de gebruiker op de betreffende applicatie kan worden ingelogd. Om misbruik te voorkomen maakt Microsoft per applicatie gebruik van een whitelist met toegestane redirect url's.

Mollema ontdekte dat in het geval van Microsoft Teams de whitelist een redirect url met "http://dev.local" toestond. Een aanvaller met controle over die pagina en de mogelijkheid om een gebruiker hier na het inloggen naar toe te sturen kon het toegangstoken van de gebruiker onderscheppen en vervolgens op zijn Office 365-account inloggen. Dit was zowel via een kwaadaardig wifi-netwerk als een lokaal netwerk mogelijk.

Wanneer een gebruiker met een kwaadaardig wifi-netwerk verbinding zou maken had de aanvaller de automatisch detectie van captive portals kunnen gebruiken om de gebruiker naar een willekeurige site door te sturen. Een captive portal is een inlogscherm dat verschijnt als gebruikers verbinding met bepaalde wifi-netwerken willen maken, bijvoorbeeld van hotels, luchthavens of internetcafés.

De website van de aanvaller had de gebruiker via de Microsoft Teams Web Client applicatie-ID en dev.local reply url weer kunnen doorsturen naar de inlogpagina van Microsoft. Zodra de gebruiker op de Microsoft-inlogpagina was ingelogd werd de gebruiker automatisch teruggestuurd naar de dev.local site. Omdat de aanvaller controle over het netwerk heeft kan die via JavaScript op een pagina het toegangstoken van de gebruiker onderscheppen en naar zichzelf terugsturen.

Met het toegangstoken kan de aanvaller weer op het Office 365-account van de gebruiker inloggen en zo e-mails van de gebruiker lezen, in zijn naam e-mails versturen, zijn OneDrive-bestanden en SharePoint-sites en -bestanden benaderen. Microsoft werd in juni over de kwetsbaarheid geïnformeerd en kwam drie maanden later in september met een oplossing.