Bleepingcomputer12月22日消息今年3月以来,不断有报道称MicrosoftTeams链接预览功能存在一些安全漏洞,不过微软表示不会修复或推迟针对这些漏洞的补丁计划。由德国IT安全咨询公司PositiveSecurity的联合创始人FabianBr?unlein发现的安全漏洞包括服务器端请求伪造(SSRF)、URL预览欺骗、IP地址泄漏(Android)和所谓的死亡消息(Android))拒绝服务(DoS)漏洞。Br?unlein向Microsoft安全响应中心(MSRC)报告了四个漏洞,该中心负责调查Microsoft产品和服务中的漏洞报告。研究人员说:“这些漏洞允许访问Microsoft内部服务、欺骗链接预览,并且对于Android用户来说,还可以泄露他们的IP地址并危及他们的Teams应用程序/频道。”在这四个漏洞中,微软只解决了IP地址泄漏(Android)漏洞。对于其他的漏洞,微软表示目前版本没有修复SSRF,未来版本也计划考虑DoS。使用户暴露于网络钓鱼的漏洞尚未修补。至于URL预览欺骗漏洞,虽然标记为不会对Teams用户构成任何危险,但威胁者可以利用此漏洞将自己伪装成恶意链接进行钓鱼攻击。微软表示:“MSRC调查了这个问题并得出结论,它不会构成直接威胁,不需要紧急关注。因为一旦用户点击该URL,他们将不得不被重定向到该恶意URL,这将是一个免费的sample,用户不应该被看到他们不打算打开的链接所愚弄。”研究人员补充说:“虽然所发现漏洞的影响有限,但令人惊讶的是,如此简单的攻击媒介之前似乎没有经过测试,而且微软没有意愿或资源来保护他们的用户免受它的侵害”自7月以来,Teams还一直在使用DefenderforOffice365安全链接保护来保护用户免受基于URL的网络钓鱼攻击,这在一定程度上解释了该公司决定不解决可能在网络钓鱼活动中被滥用的欺骗漏洞的决定。虽然安全链接保护适用于所有Teams用户并适用于跨对话、群聊和Teams频道共享的链接,但仍需要通过在Microsoft365Defender门户中设置安全链接策略来启用它。参考来源:https://www.bleepingcomputer.com/news/security/microsoft-teams-bug-allowing-phishing-unpatched-since-march/
