Microsoft lost ernstige kwetsbaarheid in Teams op

Abonneer je gratis op Techzine!

Een door Tenable ontdekte achterdeur in Microsoft Teams, waarmee buitenstaanders toegang konden krijgen tot het account van een gebruiker, is recent gepatcht.

Microsoft Teams heeft een standaardfunctie waarmee gebruikers applicaties kunnen starten als een tabblad binnen elk team waartoe ze behoren. Organisaties die Office 365 of Microsoft Teams gebruiken, met een Business Basic-licentie of hoger, kunnen ook Microsoft Power Apps starten binnen deze tabbladen.

Security researcher Tenable maakte gisteren bekend dat het daarin een achterdeur had gevonden: de Power Apps-tabbladen bleken te worden beheerd met onvoldoende invoervalidatie. Als de tabbladen werden geopend, bevestigde het validatiemechanisme slechts gedeeltelijk of de inhoud op het tabblad afkomstig was van een vertrouwde bron.

Toegang via tabblad

Wanneer een tabblad werd geopend, bevestigde het validatiemechanisme alleen het begin van de URL. Als aanvallers misbruik van dat beveiligingslek willen maken, hoefden ze alleen een subdomein met een langer adres op te zetten dat zijzelf beheren, bijvoorbeeld door onpremise.support erachter te plaatsen, waardoor ze toegang krijgen tot een Power Apps-tabblad.

Succesvolle exploitatie van de fout zou aanvallers in staat stellen controle te krijgen over alle gebruikers die toegang hebben tot het bewuste tabblad, zoals het lezen van groepsberichten, toegang tot de e-mail en OneDrive-opslag van de gebruikers.

Zoals gebruikelijk, heeft Tenable na ontdekking contact gezocht met Microsoft, die het achterdeurtje vervolgens heeft dichtgespijkerd. Omdat het probleem aan de serverzijde lag, kon dit gebeuren zonder dat gebruikers iets hoefden te doen. Vooralsnog lijkt het erop dat de patch op tijd is en er geen misbruik is gemaakt van het probleem.