La firma de seguridad alemana Positive Security ha revelado que detectó en marzo de este año 4 vulnerabilidades en el famoso software de comunicación Microsoft Teams. De los 4 fallos detectados Microsoft sólo ha corregido uno de ellos.
Microsoft Teams es uno de los éxitos más recientes de Microsoft. Esta plataforma fue lanzada en el año 2017 con intención de ser una nueva alternativa para realizar videollamadas de ámbito empresarial. Pero no ha sido hasta 2020 con la pandemia, cuando ha saltado a la fama, implantándose muy rápidamente como la plataforma preferida para la comunicación de las empresas y organizaciones, como el sector educativo. Ha sido tan grande el éxito de Teams que ya tiene su versión para particulares de forma gratuita. Al ser de Microsoft, se integra en el ecosistema de Office 365, siendo una aplicación compatible con todas las demás que ofrece el paquete.
En marzo de este año, investigadores de Positive Security detectaban 4 fallos que han reportado a Microsoft, y por los cuales un atacante podría obtener la IP de los clientes conectados a una reunión, suplantar la identidad de un usuario, acceder a otros servicios del usuario afectado y denegar el servicio (en aplicaciones Android) a reuniones de Teams.
Según la firma se podrían explotar estas vulnerabilidades únicamente modificando el enlace de una invitación a una reunión de Teams. Y con ello se podría omitir el SOP (Same-Origin Policy) y obtener así, el UUID interno que maneja JavaScript. Recordad que Teams está escrito en Electron, un lenguaje de programación que es un framework de JavaScript para crear aplicaciones gráficas del lado del cliente y del servidor.
Todo ello lanzando peticiones GET con el enlace manipulado. Un ejemplo que muestran en el estudio, es lanzar una petición con la terminación:
/urlp/v1/url/info
Esto provoca la filtración de datos del servidor que conecta a los usuarios de Microsoft, lo que abre la puerta al posible escaneo de puertos y envío de exploits basados en HTTP.
El cofundador de la firma, Fabián Bräunlein, termina el estudio indicando que comunicaron a Microsoft estos problemas el 10 de marzo de este año, pero solo han solucionado una de las 4 vulnerabilidades descubiertas. El propio investigador afirma que, aunque estos vectores de ataque son limitados, le sorprende que Microsoft no haya corregido estos problemas que son básicos y que no hayan puesto voluntad para solucionarlos, ya que afecta a la confidencialidad de sus clientes. En el mismo informe muestran cómo Microsoft les responde indicándoles que no van a solucionar las vulnerabilidades de forma inmediata, ya que tienen un alcance limitado.
Tecnógrafos 