image

Microsoft Teams was kwetsbaar voor zero-click remote code execution

maandag 7 december 2020, 16:36 door Redactie, 8 reacties

Microsoft Teams bevatte een kwetsbaarheid waardoor het mogelijk was om zonder interactie van gebruikers code op het onderliggende systeem uit te voeren. Alleen het versturen van een speciaal geprepareerd chatbericht dat in de Teams-applicatie van de gebruiker werd getoond was voldoende om toegang tot het systeem van de gebruiker te krijgen. Een worm had de kwetsbaarheid kunnen gebruiken om zich automatisch onder gebruikers van de dienst te verspreiden.

Het probleem speelde bij de desktopapplicatie van Microsoft Teams voor Linux, macOS en Windows, zo meldt onderzoeker Oskars Vegeris. Daarnaast was de online dienst teams.microsoft.com kwetsbaar voor cross-site scripting (XSS) waardoor een aanvaller SSO-autorisatietokens voor Microsoft Teams en andere Microsoft-diensten, zoals Skype, Outlook en Office365, had kunnen stelen. Via het XSS-lek had een aanvaller vanuit Microsoft Teams ook toegang tot vertrouwelijke gesprekken en bestanden kunnen krijgen.

De onderzoekers ontdekten in de desktopapplicatie een manier om de beperkingen van Microsoft Teams wat betreft het uitvoeren van JavaScript-code te omzeilen. Vervolgens gebruikten ze een API van Microsoft Teams voor het downloaden en uitvoeren van een bestand. Dit was mogelijk zonder interactie van de gebruiker, vandaar de term zero-click.

De onderzoekers rapporteerden de problemen bij Microsoft dat de impact voor de online dienst als "important" bestempelde en "spoofing" als enige impact noemde. Voor de desktopapplicaties stelde Microsoft dat het wel om een kritieke kwetsbaarheid ging die remote code execution mogelijk maakte. De problemen zijn inmiddels via updates verholpen.

Image

Reacties (8)
07-12-2020, 16:50 door Anoniem
Heb een rothekel aan die zooi. Maar de werkgever verplicht het gebruik ervan.
07-12-2020, 18:25 door Anoniem
Een zeroday RCE dus gewoon. Wat een plaag al die nutteloze benamingen.
07-12-2020, 20:43 door Anoniem
Door Anoniem: Heb een rothekel aan die zooi. Maar de werkgever verplicht het gebruik ervan.
Yup. Same. maarja elke app heeft wel wat. Het verschil is echter dat bij microsoft alles aan elkaar gekoppeld zit. Dat is voor de beheerder goed maar ook voor de hacker.
07-12-2020, 21:40 door walmare
Door Anoniem: Heb een rothekel aan die zooi. Maar de werkgever verplicht het gebruik ervan.
Hier is het ook verplicht maar ze gebruiken stiekem zoom. Waarom weet ik niet.
07-12-2020, 23:35 door [Account Verwijderd]
Microsoft Teams was kwetsbaar voor zero-click remote code execution
What else...
08-12-2020, 10:53 door Anoniem
Door Anoniem: Heb een rothekel aan die zooi. Maar de werkgever verplicht het gebruik ervan.
Maar je weet het he, Zoom is verdacht want Chinees. Teams mag je gerust gebruiken want is Amerikaans.
Zo lopen de hazen tegenwoordig.
08-12-2020, 16:46 door Anoniem
Jitsi (https://jitsi.org/jitsi-meet/) lijkt me een prima alternatief.
09-12-2020, 15:45 door Anoniem
Door Anoniem:
Door Anoniem: Heb een rothekel aan die zooi. Maar de werkgever verplicht het gebruik ervan.
Maar je weet het he, Zoom is verdacht want Chinees. Teams mag je gerust gebruiken want is Amerikaans.
Zo lopen de hazen tegenwoordig.

BS. Zoom was in het begin van het jaar (a) lek en (b) moeilijk te beveiligen. Inmiddels (a) gedicht en (b) veel vriendelijker gemaakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.