Da marzo di quest’anno gli analisti hanno evidenziato differenti bug su Teams, il popolare strumento di collaborazione di Microsoft. Lo strumento della società di Redmond è divenuto in tempi di pandemia molto popolare e per questo molto attraente per gli agenti di minaccia. Non è dunque un caso che diverse campagne (l’ultima molto recente con il coinvolgimento di diverse decine di migliaia di utenti) abbiano mirato a tecnologie collegate come Office 365 attraverso un phishing che si presenta con un oggetto molto eloquente: "C'è una nuova attività in Teams". Un messaggio naturalmente che vuole fare intendere di essere stato generato da notifica automatica proprio di Microsoft Teams. Cosa c’è sotto? 

Probabilmente proprio quei bug che sono stati individuati e ancora (alcuni) non risolti da Microsoft. Facciamo ordine; i bug in questione sono: 

- un bug che consente la falsificazione degli URL nella funzione di “anteprima dei collegamenti” capace di divenire strumento per attacchi di phishing o per nascondere collegamenti dannosi nei contenuti inviati agli utenti. Essenzialmente questo può essere fatto impostando la destinazione del collegamento di anteprima "su qualsiasi posizione indipendente dal collegamento principale, dall'immagine di anteprima e dalla descrizione, dal nome host visualizzato o dal testo al passaggio del mouse". 

- un bug che consente, attraverso lo stesso meccanismo di falsificazione, di divulgare gli indirizzi IP del dispositivo Android su cui gira Teams 

- un bug che consente un DoS temporaneo (anche noto come “Message of Death) contro programma Team su Android sempre attraverso la medesima funzione quando un messaggio contenente un collegamento ad una anteprima sia stato redatto appositamente per interrompere l’esecuzione del programma 

- un bug che consente la falsificazione delle richieste lato server (SSRF) consentendo la scansione delle porte della rete interna (Microsoft) e l'invio di exploit basati su HTTP ai servizi web scoperti 

Contattata e sollecitata dagli esperti responsabili della scoperta dei bug, Microsoft ha avuto un atteggiamento attendista sugli stessi, indicando differenti motivi di non preoccupazione al riguardo. 

Fatto è che solo il problema della perdita potenziale di indirizzo per client Android sembra essere stata silentemente risolta, anche se inizialmente Microsoft aveva rifiutato ufficialmente un intervento in tal senso. Per le problematiche riguardanti il DoS e il SSRF la società di Redmond ha deciso di non voler porre rimedio, motivando solo il caso del bug che genera il DoS: per Microsoft si tratta di un problema che non ha un carattere di urgenza, vista la bassa gravità di un DoS che risulta temporaneo e risolvibile con il riavvio dell’applicazione. 

Al netto di eventuali ulteriori correzioni “silenti” da parte di Microsoft, quello che possiamo concludere da questa storia è che questi bug ce li dobbiamo tenere. 

Tweet