Microsoft Teams, scovate quattro nuove falle
Topic
Approfondimenti
Trending
tutti

Microsoft Teams, scovate quattro nuove falle

I ricercatori di Positive Security hanno scovato quattro falle in Microsoft Teams che mettono a serio rischio il funzionamento del servizio.
Microsoft Teams, scovate quattro nuove falle
Informatica Sistemi operativi
I ricercatori di Positive Security hanno scovato quattro falle in Microsoft Teams che mettono a serio rischio il funzionamento del servizio.
Pexels

Brutte notizie per Microsoft Teams e per i suoi utenti: i ricercatori di sicurezza di Positive Security hanno infatti scoperto che il servizio è interessato da ben quattro vulnerabilità che potrebbero essere sfruttate dai malintenzionati per falsificare le anteprime dei collegamenti, per divulgare indirizzi IP e persino accedere ai servizi interni di Microsoft.

Microsoft Teams: quattro falle trovate nel tentativo di aggirare la SOP

Le falle sono state scovate nel tentativo di aggirare la Same-Origin Policy (SOP), un meccanismo di sicurezza presente nei browser che aiuta ad impedire ai siti Internet di attaccarsi a vicenda. Durante l’indagine, i ricercatori hanno constatato che potevano riuscirci sfruttando la funzione di anteprima del collegamento in Microsoft Teams, consentendo al client di generare un’anteprima per la pagina di destinazione, quindi usando un testo di riepilogo o un testo OCR sull’immagine di anteprima per estrarre informazioni.

Dei quattro bug trovati, due possono essere usati su qualsiasi dispositivo e consentono di falsificare le richieste lato server (SSRF), per far trapelare informazioni dalla rete locale di Microsoft, e lo spoofing, per effettuare attacchi di phishing o per nascondere collegamenti dannosi. Le altre riguardano solo gli smartphone Android e possono essere adoperate per captare gli indirizzi IP e mettere a segno attacchi Denial of Service (DOS), cosa che inquieta non poco in quanto un malintenzionato può inviare ad un utente un messaggio che include un’anteprima del collegamento con una destinazione non valida per far arrestare in maniera anomala l’app di Microsoft Teams, la quale continuerà a bloccarsi quando si tenta di aprire la chat o il canale con il messaggio dannoso.

Positive Security ha informato Microsoft delle scoperte fatte il 10 marzo scorso mediante il suo programma di bug bounty. Da allora Microsoft ha corretto solo la vulnerabilità della perdita di indirizzi IP. Ora che Positive Security ha reso pubbliche le sue scoperte, l’azienda di Redmond dovrebbe però provvedere a correggere anche gli altri tre restanti bug.

Fonte: Threatpost

Pubblicato il 23 dic 2021

Link copiato negli appunti

Ti potrebbe interessare

Windows 11 24H2: Recall in test per i Copilot+ PC

Windows 11 24H2: Recall in test per i Copilot+ PC
Linux 6.13 aggiorna il supporto EDAC per Intel Panther Lake-H

Linux 6.13 aggiorna il supporto EDAC per Intel Panther Lake-H
Vulkan 1.3.302 aggiunge la codifica AV1 e le estensioni stereo Nvidia

Vulkan 1.3.302 aggiunge la codifica AV1 e le estensioni stereo Nvidia
Android 16: Gemini potrà interagire con le app autonomamente

Android 16: Gemini potrà interagire con le app autonomamente
Windows 11 24H2: Recall in test per i Copilot+ PC

Windows 11 24H2: Recall in test per i Copilot+ PC
Linux 6.13 aggiorna il supporto EDAC per Intel Panther Lake-H

Linux 6.13 aggiorna il supporto EDAC per Intel Panther Lake-H
Vulkan 1.3.302 aggiunge la codifica AV1 e le estensioni stereo Nvidia

Vulkan 1.3.302 aggiunge la codifica AV1 e le estensioni stereo Nvidia
Android 16: Gemini potrà interagire con le app autonomamente

Android 16: Gemini potrà interagire con le app autonomamente
Martina Oliva
Pubblicato il
23 dic 2021
Link copiato negli appunti