Se han descubierto una serie de vulnerabilidades en la plataforma de videoconferencias de Microsoft, Microsoft Teams, que permitirían a los atacantes la realización de spoofing de las previsualizaciones de los enlaces, la fuga de IPs e incluso acceder a servicios internos.
Se han descubierto un total de cuatro vulnerabilidades con la introducción de la nueva característica de previsualización de enlaces. Estas fueron reportadas a Microsoft en Marzo de 2021, y hasta la fecha solo ha sido solucionada una de ellas.
Las cuatro vulnerabilidades encontradas son del tipo server-side request forgery (SSRF) y un fallo de spoofing de previsualización de la URL, tanto en la web como en la aplicación de escritorio, y, en el caso de los usuarios de Android, se puede revelar su IP y realizar un ataque de denegación de servicio (DoS).
Las vulnerabilidades del tipo server-side request forgery permiten a un atacante que el lado del servidor de la aplicación realice peticiones HTTP a los dominios de su elección. En otros casos puede hasta forzarse la conexión arbitraria a sistemas externos, pudiendo filtrar datos sensibles como credenciales.
La vulnerabilidad de SSRF puede ser utilizada para escanear los puertos y servicios HTTP internos y enviar peticiones con una payload de Log4Shell a todos ellos, tratando de explotar los servicios que no están expuestos a Internet.
Hasta el momento Microsoft Teams solo ha parcheado la vulnerabilidad de la filtración de IPs de los dispositivos Android.
Fuente: https://unaaldia.hispasec.com/2022/01/detectadas-multiples-vulnerabilidades-en-microsoft-teams.html