von Redaktion IT-A…
Lesezeit
1 Minute
Gravierende Sicherheitslücke in Teams geschlossen
Tenable hat Details zu einer schwerwiegenden Sicherheitslücke in Microsoft Teams bekanntgegeben, die vom Zero-Day-Research-Team des Unternehmens entdeckt wurde. Durch den Missbrauch der Power-Apps-Funktionalität konnten Angreifer dauerhaften Lese- und Schreibzugriff auf E-Mails, Teams-Chats, OneDrive, Sharepoint und weitere Dienste eines Opfers erlangen.
Die Ausnutzung dieser Schwachstelle ist auf authentifizierte Benutzer innerhalb einer Teams-Organisation beschränkt, die die Möglichkeit haben, Power Apps-Tabs zu erstellen. Die bedeutet, dass sie nicht von einem nicht vertrauenswürdigen oder unauthentifizierten Angreifer ausgenutzt werden kann. Die Berechtigung zum Erstellen dieser Registerkarten ist jedoch standardmäßig aktiviert, was bedeutet, dass ein Drittanbieter, ein verärgerter Mitarbeiter oder sogar ein ehemaliger Mitarbeiter, dem der Zugriff nicht entzogen wurde, einen Angriff starten könnte.
Die Power Apps-Funktionalität ist ein separates Produkt, das innerhalb von Teams für die Erstellung und Verwendung benutzerdefinierter Business-Anwendungen verwendet wird. Cyberangreifer verschaffen sich Zugang über eine bösartige Microsoft Teams-Registerkarte und Power Automate-Flows. Tenable [1] entdeckte, dass Inhalte, die in diese Power Apps-Tabs geladen wurden, von einer unsachgemäß verankerten regulären Expression gesteuert wurden.
Das heißt, dass der Validierungsmechanismus, der zur Bestätigung, dass der Inhalt im Tab aus einer vertrauenswürdigen Quelle stammt, nur überprüft, ob eine bestimmte URL mit "https://make.powerapps.com" beginnt, und keine weitere Validierung vornimmt. Das wiederum bedeutet, dass ein Angreifer einfach eine Subdomain von "make.powerapps.com" für eine beliebige von ihm kontrollierte Domain erstellen kann, etwa "https://make.powerapps.com.fakecorp.ca", wodurch er nicht vertrauenswürdige Inhalte in einen Power Apps-Tab laden kann.
Der Schweregrad dieser Schwachstelle wird durch die für Microsoft Power Apps innerhalb von Microsoft Teams gewährten Berechtigungen verstärkt. Eine erfolgreiche Ausnutzung dieser Schwachstelle ermöglicht es Angreifern, die Kontrolle über alle Benutzer zu übernehmen, die auf den bösartigen Tab zugreifen. Dies umfasst das Lesen der Gruppennachrichten der Opfer innerhalb von Teams, den Zugriff auf die E-Mails und den OneDrive-Speicher der Benutzer und vieles mehr.
Derzeit gibt es keine Anzeichen dafür, dass diese Sicherheitslücke in freier Wildbahn ausgenutzt wurde. Microsoft hat eine Lösung für dieses Problem implementiert, so dass keine weiteren Maßnahmen seitens der Endbenutzer erforderlich sind.
dr
[1] https://medium.com/tenable-techblog/stealing-tokens-emails-files-and-more-in-microsoft-teams-through-malicious-tabs-a7e5ff07b138
Die Power Apps-Funktionalität ist ein separates Produkt, das innerhalb von Teams für die Erstellung und Verwendung benutzerdefinierter Business-Anwendungen verwendet wird. Cyberangreifer verschaffen sich Zugang über eine bösartige Microsoft Teams-Registerkarte und Power Automate-Flows. Tenable [1] entdeckte, dass Inhalte, die in diese Power Apps-Tabs geladen wurden, von einer unsachgemäß verankerten regulären Expression gesteuert wurden.
Das heißt, dass der Validierungsmechanismus, der zur Bestätigung, dass der Inhalt im Tab aus einer vertrauenswürdigen Quelle stammt, nur überprüft, ob eine bestimmte URL mit "https://make.powerapps.com" beginnt, und keine weitere Validierung vornimmt. Das wiederum bedeutet, dass ein Angreifer einfach eine Subdomain von "make.powerapps.com" für eine beliebige von ihm kontrollierte Domain erstellen kann, etwa "https://make.powerapps.com.fakecorp.ca", wodurch er nicht vertrauenswürdige Inhalte in einen Power Apps-Tab laden kann.
Der Schweregrad dieser Schwachstelle wird durch die für Microsoft Power Apps innerhalb von Microsoft Teams gewährten Berechtigungen verstärkt. Eine erfolgreiche Ausnutzung dieser Schwachstelle ermöglicht es Angreifern, die Kontrolle über alle Benutzer zu übernehmen, die auf den bösartigen Tab zugreifen. Dies umfasst das Lesen der Gruppennachrichten der Opfer innerhalb von Teams, den Zugriff auf die E-Mails und den OneDrive-Speicher der Benutzer und vieles mehr.
Derzeit gibt es keine Anzeichen dafür, dass diese Sicherheitslücke in freier Wildbahn ausgenutzt wurde. Microsoft hat eine Lösung für dieses Problem implementiert, so dass keine weiteren Maßnahmen seitens der Endbenutzer erforderlich sind.
dr
[1] https://medium.com/tenable-techblog/stealing-tokens-emails-files-and-more-in-microsoft-teams-through-malicious-tabs-a7e5ff07b138
