Microsoft Teams 釣魚漏洞歷經 9 個月未修復,微軟與安全商的漏洞認知不同調

作者 | 發布日期 2021 年 12 月 24 日 8:45 | 分類 app , Microsoft , Windows Telegram share ! follow us in feedly


早在今年 3 月下旬,德國 IT 安全顧問服務公司 Positive Security 便通報微軟,發現 Microsoft Teams 有 4 個會引發釣魚攻擊或 DoS 阻斷服務攻擊等風險的安全漏洞,但微軟直到現在只修復一個,並表示其他三個漏洞的風險與影響性不高,只會提供兩個漏洞更新修補,另一個漏洞完全不打算修補。

Positive Security 公司通報微軟安全回應中心(Microsoft Security Response Center,MSRC)的 4 個漏洞,包括伺服器端請求偽造(Server-Side Request Forgery,SSRF)、詐騙式 URL 連結預覽偽造、IP 位置外洩與 DoS 阻斷服務等。這 4 個漏洞除了讓攻擊者存取內部微軟服務並偽造詐騙式「連結預覽」內容兩個漏洞,另兩個更會讓 Android 使用者面臨 IP 位址外洩與 Microsoft Teams App 及頻道停擺風險。

截至目前,4 個 3 月便通報的安全漏洞,微軟只修補 IP 位置外洩,避免攻擊者取得存取目標受害者 IP 位址的權限。微軟表示,目前版本不會修補 SSRF 漏洞,至於 DoS 漏洞預計之後提供更新修補。面對有可能被攻擊者發動釣魚攻擊或偽造惡意連結的詐騙式 URL 連結預覽偽造漏洞,微軟標註成不會對 Teams 用戶造成任何危險的漏洞。

微軟不打算處理可能引發釣魚攻擊的詐騙漏洞,部分原因是 Microsoft Teams 自今年 7 月開始採用 Defender for Office 365 的 Safe Links 保護機制,協助使用者抵禦 URL-based 釣魚攻擊。目前 Safe Links 保護功能適用所有 Teams 用戶,並支援保護交談、群組聊天及 Teams 頻道共享連結。但要強調的是,管理人員必須先在 Microsoft 365 Defender 入口網站完成 Safe Links 安全政策設定,才能發揮保護作用。

(首圖來源:微軟