研究人員披露 Microsoft Teams 軟件中未修補的漏洞

微軟表示，它不會修復或正在將補丁推遲到今年晚些時候，以解決今年三月初在其Teams業務通信平臺中發現的四個安全漏洞中的三個。

該披露來自總部位于柏林的網絡安全公司Positive Security，該公司發現鏈接預覽功能的實施容易受到許多問題的影響，這些問題可能"允許訪問內部Microsoft服務，欺騙鏈接預覽，并且對于Android用戶，泄漏其IP地址并DoS化其團隊應用程序/頻道"。

在這四個漏洞中，微軟據說只解決了一個導致Android設備IP地址泄露的漏洞，這家科技巨頭指出，在該產品的未來版本中將考慮修復拒絕服務（DoS）漏洞。這些問題已于2021年3月10日負責任地向公司披露。

其中最主要的缺陷是端點"/urlp/v1/url/info"中的服務器端請求偽造（SSRF）漏洞，該漏洞可能被利用來從微軟的本地網絡收集信息。還發現了一個欺騙錯誤，其中預覽鏈接目標可以更改為指向任何惡意URL，同時保持主鏈接，預覽圖像和描述不變，從而允許攻擊者隱藏惡意鏈接并進行改進的網絡釣魚攻擊。

DoS 漏洞會影響 Android 版本的 Teams，只需發送包含無效目標（而不是合法 URL）的特制鏈接預覽的消息，即可導致應用崩潰。最后一個問題涉及IP地址泄漏，這也會影響Android應用程序。通過攔截包含鏈接預覽的消息以將縮略圖URL指向非Microsoft域，Positive Security表示可以訪問用戶的IP地址和用戶代理數據。

"雖然發現的漏洞影響有限，但令人驚訝的是，這種簡單的攻擊媒介似乎以前從未經過測試，而且微軟沒有意愿或資源來保護他們的用戶免受它們的侵害，"Positive Security的聯合創始人Fabian Br?unlein說。