[English]Ein Sicherheitsforscher hat eine schwere Sicherheitslücke in Microsoft Teams gefunden. Diese lässt eine Remote-Code-Ausführung (RCE) ohne Interaktion durch den Benutzer (Zero-Click) auf allen von Teams unterstützten Plattformen zu. Die Schwachstelle ließe sich von einem Wurm nutzen, um sich per Teams Netzwerk-Verbindung zu verbreiten. Interessant ist vor allem die Einstufung durch Microsoft.
Anzeige
Stefan Kanthak hat mich bereits heute Morgen auf den entsprechenden Bericht von Sicherheitsforscher Oskars Vegeris, einem Sicherheitsingenieur von Evolution Gaming, aufmerksam gemacht. Vegeris hat die kritische Schwachstelle in Microsoft Teams entdeckt und diese am am 31. August 2020 an Microsoft gemeldet. Im Oktober 2020 gab es dann ein Sicherheitsupdate für Teams. Das Ganze ist eine 'Kinnladen herunter-fallen'-Geschichte.
Anzeige einer Nachricht reicht
Laut Vegeris reicht es einem Angreifer eine kompromittierte Nachricht an einen anderen Teams-Teilnehmer zu versehen. Es reicht, wenn der Empfänger diese Nachricht anzeigen lässt, um einen eingebetteten Code der Nachricht auszuführen. Das ist also eine Zero-Click-Schwachstelle, die eine Remote-Code-Ausführung (RCE) ermöglicht. Ohne eine weitere Interaktion seitens des Opfers sind das interne Netzwerk des angegriffenen Unternehmens, persönliche Dokumente, Office 365-Dokumente/Post/Notizen, geheime Chats vollständig kompromittiert. Nachfolgendes Gif zeigt den Angriff.
Die schmutzige Seite der Angelegenheit
Anzeige
Microsoft wirbt ja offensiv mit Trustworthy by Design (siehe Security and Microsoft Teams) und brüstet sich auch sonst mit Datenschutz und Sicherheit. Microsoft-CEO Satya Nadella gab am 27. Oktober 2020 bei einem Telefongespräch mit Investoren bekannt, dass Microsoft-Teams nun täglich 115 Millionen aktive Nutzer habe.
Als der Sicherheitsforscher die Schwachstelle an Microsoft meldete, wurde diese am 30. September 2020 als "wichtig, Spoofing" eingestuft. Das ist eine der niedrigsten möglichen Einstufungen. Als Vegeris Microsoft nochmals nachhakte und auf die Brisanz der Schwachstelle hinwies, weigert Microsoft sich, die Auswirkungen im Detail zu diskutieren. Diese Entscheidung wurde am 19. November 2020 getroffen und endgültig. Zudem schreibt Microsoft, dass keine CVE-Nummer vergeben werde. "Was den CVE-Teil betrifft, so ist es derzeit Microsofts Politik, keine CVEs für Produkte herauszugeben, die ohne Interaktion des Benutzers automatisch aktualisiert werden", hieß es am 30. November 2020. Immerhin wurden die Fehler Ende Oktober 2020 behoben.
Die Details sind im GitHub-Beitrag von Vegeris nachzulesen. Die Geschichte zeigt aber erneut, wie Microsoft mit den Schwachstellen umgeht. Obwohl: Wer Teams einsetzt, dem ist nicht mehr zu helfen. Wer Zweifel hat, möge die nachfolgenden Artikel durchgehen. Dieser Absatz war eigentlich als Provokation (ob des obigen Verhaltens Seitens Microsoft) gedacht. Als ich dann nach meinem Blog-Beitrag Microsoft Teams und die Sicherheit … suchte, ist mir allerdings die Kinnlade ob der Treffer heruntergefallen. Und mir schoss der Gedanke durch den Kopf: 'Was ist die Maßeinheit für den Abstand zwischen zwei Katastrophen – ein Teams'.
Ähnliche Artikel:
Microsoft Teams: XPC-Schwachstelle, wird nicht (zeitnah) gepatcht
Fix für Microsoft Teams Performance-Probleme
Microsoft Teams mit ‚Ops'-Anzeige gestört? (22.10.2020)
Teams Speicherort für Compliance-Aufzeichnungen geändert, brickt Scripte
Microsoft 365: Teams und Outlook war wieder gestört (7.10.2020)
Abmelden fehlt bei Teams-App für Android?
Malware kann Microsoft Teams Updater missbrauchen
MS Teams: Bug verhindert Whiteboard-Nutzung in Europa
Verursacht Windows 10 VPN-Bug-Fix Update Teams-Probleme?
Störung: Microsoft Teams rumpelt (16./17.3.2020)
MS Teams wegen Zertifikatsfehler down (3.2.2020)
Zoom & Teams nicht DSGVO-konform einsetzbar
MS-Teams: Bei Windows Server auf virtuellen Speicher achten
Microsoft Teams: Schwachstelle erlaubte Kontenübernahme
Microsoft Teams und die Sicherheit …
Office 365 war über Teams-Netzwerkschwachstelle angreifbar
Anzeige
Teams ist noch eine Baustelle, was man auch daran sieht, dass es sich im Benutzerprofil installiert (wie OneDrive einst auch), vermutlich, damit ma es jederzeit aktualisieren kann – unter Umgehung aller dafür in Windows integrierten Updatefunktionen. Und unter Umgehgung der üblichen Gepflogenheit von Speicherorten für Programme, was Probleme mit Applocker und der Windows-Firewall verursacht.
Dennoch finde ich, dass es eines der besten Kommunikationsprorämmchen der letzten Jahre ist, vielleicht sogar das Beste, mit IMHO einigartigen Funktionen bei der Zusammenarbeit, nebenbei kann man sich damit auch gleich noch den Teamviewer und ähnliches einsparen. Es fehlen aber noch wichtige Basis-Sachen, z.B. Übernahme der Kontakte aus Outlook, Mail-App, Kontakte-App.
Aber es ist einfach, auf Microsoft und Teams zu schimpfen, man sollte sich aber auch fragen, warum die von Teams verwendeten Frameworks AngularJS und Electron umgangen werden können, denn diese sollen doch solche Angriffe abfangen?