Detectadas múltiples vulnerabilidades en Microsoft Teams

Vulnerabilidades en Microsoft Teams

Se han descubierto una serie de vulnerabilidades en la plataforma de videoconferencias de Microsoft, Microsoft Teams, que permitirían a los atacantes la realización de spoofing de las previsualizaciones de los enlaces, la fuga de IPs e incluso acceder a servicios internos.

Se han descubierto un total de cuatro vulnerabilidades con la introducción de la nueva característica de previsualización de enlaces. Estas fueron reportadas a Microsoft en Marzo de 2021, y hasta la fecha solo ha sido solucionada una de ellas.

Las cuatro vulnerabilidades encontradas son del tipo server-side request forgery (SSRF) y un fallo de spoofing de previsualización de la URL, tanto en la web como en la aplicación de escritorio, y, en el caso de los usuarios de Android, se puede revelar su IP y realizar un ataque de denegación de servicio (DoS).

Las vulnerabilidades del tipo server-side request forgery permiten a un atacante que el lado del servidor de la aplicación realice peticiones HTTP a los dominios de su elección. En otros casos puede hasta forzarse la conexión arbitraria a sistemas externos, pudiendo filtrar datos sensibles como credenciales.

La vulnerabilidad de SSRF puede ser utilizada para escanear los puertos y servicios HTTP internos y enviar peticiones con una payload de Log4Shell a todos ellos, tratando de explotar los servicios que no están expuestos a Internet.

Hasta el momento Microsoft Teams solo ha parcheado la vulnerabilidad de la filtración de IPs de los dispositivos Android.

.

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies