一名研究人员本周披露位于微软协同工具Teams Mac、Windows及Linux等PC机版存在一个不需用户交互即可远程执行程序代码,甚至可利用SSO机制访问公司系统的漏洞。
代号为Vegeris的安全研究人员指出,这个远程程序代码执行漏洞出在TeamsPC机版,可由teams.microsoft.com的跨网站脚本(Cross-Site Scripting,XSS)注入漏洞触发。攻击者可将恶意聊天消息传给任何Microsoft Teams成员或频道,借此在接到消息的用户计算机上执行任意程序代码。攻击者不仅可在受害者PC上执行任意程序代码,取得计算机完整访问权限,也可通过这些计算机访问公司内部网络。
即使用户计算机没有被执行任意程序代码,只要攻击者取得Microsoft Teams及其他微软服务(如Skype、Outlook、Office 365)的单一签入(SSO)授权令符,还是可能在企业内部网络游走。此外,XSS漏洞本身就可以让攻击者访问Teams平台上的私密对话、及重要公司文件等。研究人员并以PoC示范XSS攻击程序代码。
除了上述风险外,研究人员更指出,结合二项漏洞的攻击过程为可自我复制传播(wormable),完全不需用户交互,
受XSS漏洞影响产品为Microsoft Teams Web版teams.microsoft.com,以及RCE漏洞则影响2020年8月31日以前的MacOS、Windows及LinuxPC机版App,包括Teams macOS 1.3.00.23764版、Teams Windows 1.3.00.21759版及Teams Linux 1.3.00.16851版。
研究人员于8月底通报微软两漏洞,但他对微软回应不以为然。首先,他认为RCE应属于重大漏洞,不过微软仅将之列为“(严重性)重要,(影响)欺骗”,为相当低风险的评级。此外,微软也未对这二个漏洞提供漏洞名称(CVE),理由是微软对不需用户交互、而是自动更新修补的产品之漏洞,就不会发派CVE。
微软已经在10月底将两个漏洞修补完成。