早在今年3月下旬,德国IT安全顾问服务公司Positive Security便通报微软,发现Microsoft Teams有4个会引发钓鱼攻击或DoS拒绝服务攻击等风险的安全漏洞,但微软直到现在只修复一个,并表示其他三个漏洞的风险与影响性不高,只会提供两个漏洞更新修补,另一个漏洞完全不打算修补。
Positive Security公司通报微软安全回应中心(Microsoft Security Response Center,MSRC)的4个漏洞,包括服务器端请求伪造(Server-Side Request Forgery,SSRF)、诈骗式URL连接预览伪造、IP位置外泄与DoS拒绝服务等。这4个漏洞除了让攻击者访问内部微软服务并伪造诈骗式“连接预览”内容两个漏洞,另两个更会让Android用户面临IP地址外泄与Microsoft Teams App及频道停摆风险。
截至目前,4个3月便通报的安全漏洞,微软只修补IP位置外泄,避免攻击者取得访问目标受害者IP地址的权限。微软表示,目前版本不会修补SSRF漏洞,至于DoS漏洞预计之后提供更新修补。面对有可能被攻击者发动钓鱼攻击或伪造恶意连接的诈骗式URL连接预览伪造漏洞,微软标注成不会对Teams用户造成任何危险的漏洞。
微软不打算处理可能引发钓鱼攻击的诈骗漏洞,部分原因是Microsoft Teams自今年7月开始采用Defender for Office 365的Safe Links保护机制,协助用户抵御URL-based钓鱼攻击。目前Safe Links保护功能适用所有Teams用户,并支持保护交谈、群组聊天及Teams频道共享连接。但要强调的是,管理人员必须先在Microsoft 365 Defender门户网站完成Safe Links安全策略设置,才能发挥保护作用。
(首图来源:微软)