早在今年 3 月下旬,德国 IT 安全顾问服务公司 Positive Security 便通报微软,发现 Microsoft Teams 有 4 个会引发钓鱼攻击或 DoS 阻断服务攻击等风险的安全漏洞,但微软直到现在只修复一个,并表示其他三个漏洞的风险与影响性不高,只会提供两个漏洞更新修补,另一个漏洞完全不打算修补。
Positive Security 公司通报微软安全回应中心(Microsoft Security Response Center,MSRC)的 4 个漏洞,包括服务器端请求伪造(Server-Side Request Forgery,SSRF)、诈骗式 URL 连结预览伪造、IP 位置外泄与 DoS 阻断服务等。这 4 个漏洞除了让攻击者存取内部微软服务并伪造诈骗式“连结预览”内容两个漏洞,另两个更会让 Android 使用者面临 IP 位址外泄与 Microsoft Teams App 及频道停摆风险。
截至目前,4 个 3 月便通报的安全漏洞,微软只修补 IP 位置外泄,避免攻击者取得存取目标受害者 IP 位址的权限。微软表示,目前版本不会修补 SSRF 漏洞,至于 DoS 漏洞预计之后提供更新修补。面对有可能被攻击者发动钓鱼攻击或伪造恶意连结的诈骗式 URL 连结预览伪造漏洞,微软标注成不会对 Teams 用户造成任何危险的漏洞。
微软不打算处理可能引发钓鱼攻击的诈骗漏洞,部分原因是 Microsoft Teams 自今年 7 月开始采用 Defender for Office 365 的 Safe Links 保护机制,协助使用者抵御 URL-based 钓鱼攻击。目前 Safe Links 保护功能适用所有 Teams 用户,并支援保护交谈、群组聊天及 Teams 频道共享连结。但要强调的是,管理人员必须先在 Microsoft 365 Defender 入口网站完成 Safe Links 安全政策设定,才能发挥保护作用。
- Microsoft Teams bug allowing phishing unpatched since March
(首图来源:微软)
