Investigadores han publicado múltiples vulnerabilidades en la aplicación de mensajería Microsoft Teams para distintas plataformas que permitiría a un atacante realizar server-side request forgery (SSRF) yURL Spoofing, en su versión de escritorio y web, como así también denegación de servicio (DoS) y divulgación de dirección IP en su versión de Android.
Para las plataformas de escritorio y web, la vulnerabilidad sería un server-side request forgery (SSRF) que permitiría a un atacante acceder al servicio HTTP interno y enviar un payload de Log4Shell para intentar explotar los servicios vulnerables que no son accesibles desde Internet. La otra vulnerabilidad relacionada con estas plataformas es la de URL preview Spoofing, que consiste en poder modificar la vista previa de una URL enviada por chat, que permitiría al atacante realizar una suplantación de la URL dirigiendo a la víctima a páginas maliciosas.
Para la plataforma Android, la vulnerabilidad publicada sería una divulgación de dirección IP, que sería posible interceptando mensajes salientes del dispositivo móvil, que incluyen una vista previa del enlace (link preview) enviado como mensaje con el objetivo de apuntar la miniatura (thumbnail) de dicho enlace a un dominio que no es de Microsoft, debido a que el cliente de Android no verifica el dominio y/o no tiene una Política de Seguridad de Contenido (CSP) que restrinja los dominios permitidos y de esta forma se podría obtener la dirección IP de la víctima. La otra vulnerabilidad presente en esta plataforma es una de denegación de servicios (DoS), que permitiría a un atacante mediante un mensaje malicioso inhabilitar los servicios de mensajería.
Si bien Microsoft ya ha corregido la vulnerabilidad de la divulgación de dirección IP, aún no se han anunciado las correcciones para las demás vulnerabilidades. Recomendamos no abrir enlaces de remitentes poco confiables e instalar las actualizaciones correspondientes, una vez sean publicadas mediante la siguiente guía:
Referencias: