Sicherheitsforscher haben eine Lücke in Microsoft Teams entdeckt, welche es Angreifern ermöglicht hätte, auf private Chats, Dateien, das interne Netzwerk sowie private Keys und Benutzerdaten von außerhalb des Programms abzurufen.
Nicht nur Zoom hatte Schwierigkeiten, sein Programm vollständig vor potenziellen Sicherheitslücken abzusichern. Auch bei Microsoft Teams gab es Sicherheitsmängel, wie der Sicherheitsforscher Oskars Vegeris entdecken konnte.
Der Bug erlaubte es, dass ein Computer schon beim Erhalten einer Nachricht Schadcode über Microsoft Teams ausführt. Dafür war lediglich notwendig, dass der Angreifer eine spezielle Nachricht absendet oder eine bisherige Nachricht bearbeitet. Die Lücke war in der Implementierung der @-Erwähnungen im Programm entdeckt worden und erlaubte den Angrifern eine Remote Code Execution per Cross Site Scripting.
Über einen solchen Angriff hätten die Angreifer jeden Schadcode am Computer des Opfers ausführen können. Die Möglichkeiten wären somit endlos, vom Mitlesen sämtlicher Nachrichten, über die Übernahme des Firmennetzwerks, den Zugriff zum Mikrofon und der Kamera, bis hin zum kompletten Datendiebstahl im Unternehmen.
Fehlerbehebung
Betroffen waren sämtliche Client-Versionen von Microsoft Teams am Desktop, sprich unter macOS, Linux, Windows sowie im Web. Der Sicherheitsforscher hat den Fehler am 31. August an Microsoft gemeldet. Im Oktober war der Bug bereits behoben. In seinem etwas verärgert verfassten Beitrag auf GitHub beklagt er sich, dass Microsoft dem Bug ein niedriges Rating gegeben hätte und man es nicht als CVE-Lücke deklariert habe.
Der Konzern hatte der Sicherheitslücke die zweithöchste Sicherheitsstufe „Important“ gegeben und sie somit nicht als „Critical“ deklariert. Microsoft wollte den Fehler allerdings nicht als Remote Code Execution ansehen, sondern lediglich als Spoofing. Zudem wurde die Lücke nicht als CVE markiert, da das Produkt automatisch im Hintergrund ohne Interaktion des Nutzers aktualisiert wird.
Für den Sicherheitsforscher ist das Rating der Lücke insbesondere deshalb wichtig, da es für eine gut berichtete Remote Code Execution bis zu 15.000 US-Dollar gibt, während Microsoft für Spoofing-Lücken „lediglich“ 3.000 US-Dollar zahlt. Sicherheitsforscher für das Finden von Lücken entsprechend zu entlohnen ist wichtig, insbesondere für ein Produkt dieser Tragweite. Ansonsten werden nur jene Forscher sich die Mühe machen, die solche Informationen nicht an Microsoft weitergeben, sondern an Geheimdienste oder gar kriminelle Organisationen.
WindowsArea.de hat bei Microsoft nachgefragt, weshalb der Lücke der Status der Remote Code Execution nicht gewährt wurde.
Quelle: GitHub
