Pesquisadores da Positive Security descobriram quatro vulnerabilidades no Microsoft Teams que podem permitir a um invasor realizar ataques de negação de serviço (DoS) em celulares Android e vazar endereços de IPs, além de outras atividades maliciosas. As falhas existem desde março e apenas uma delas foi corrigida até agora, conforme comunicado divulgado na quarta-feira (22).
De acordo com o cofundador da empresa de segurança cibernética, Fabian Bräunlein, duas das quatro brechas encontradas no mensageiro da Microsoft podem ser exploradas em qualquer dispositivo. Elas permitem falsificar a solicitação do lado do servidor (SSRF) e realizar ataques de spoofing, quando um cibercriminoso finge ser outra pessoa.
As outras duas vulnerabilidades no Teams afetam especificamente os smartphones Android com o app de mensagens instalado. Se explorá-las, um agente externo pode vazar o endereço IP dos dispositivos e lançar um ataque DoS contra os celulares, travando a ferramenta de comunicação.
O Microsoft Teams aumentou sua base de usuários desde o início da pandemia de covid-19.Fonte: Unsplash
Explorando o bug SSRF, o especialista diz ser possível acessar e vazar informações da rede local da Microsoft. Por sua vez, a brecha relacionada a spoofing ajudaria a melhorar a eficácia dos ataques de phishing e facilita a ocultação de links maliciosos, com a possibilidade de conter várias armadilhas para as vítimas.
Microsoft se justifica
Bräunlein afirma ter relatado a descoberta dos bugs no Microsoft Teams à gigante de Redmond no dia 10 de março, por meio do programa de recompensas da companhia para pesquisadores de segurança. Porém, a dona do Windows só corrigiu a brecha que permitia o vazamento de IPs no Android, até o momento.
Ao Threatpost, a big tech revelou que as outras falhas descritas pelo pesquisador não representam ameaças imediatas aos usuários do programa. Dessa forma, a empresa ainda não lançou patches para corrigi-las, mas diz ter tomado algumas medidas para aumentar a segurança na plataforma.
Fontes