研究人员披露 Microsoft Teams 软件中未修补的漏洞

微软表示，它不会修复或正在将补丁推迟到今年晚些时候，以解决今年三月初在其Teams业务通信平台中发现的四个安全漏洞中的三个。

该披露来自总部位于柏林的网络安全公司Positive Security，该公司发现链接预览功能的实施容易受到许多问题的影响，这些问题可能"允许访问内部Microsoft服务，欺骗链接预览，并且对于Android用户，泄漏其IP地址并DoS化其团队应用程序/频道"。

在这四个漏洞中，微软据说只解决了一个导致Android设备IP地址泄露的漏洞，这家科技巨头指出，在该产品的未来版本中将考虑修复拒绝服务（DoS）漏洞。这些问题已于2021年3月10日负责任地向公司披露。

其中最主要的缺陷是端点"/urlp/v1/url/info"中的服务器端请求伪造（SSRF）漏洞，该漏洞可能被利用来从微软的本地网络收集信息。还发现了一个欺骗错误，其中预览链接目标可以更改为指向任何恶意URL，同时保持主链接，预览图像和描述不变，从而允许攻击者隐藏恶意链接并进行改进的网络钓鱼攻击。

DoS 漏洞会影响 Android 版本的 Teams，只需发送包含无效目标（而不是合法 URL）的特制链接预览的消息，即可导致应用崩溃。最后一个问题涉及IP地址泄漏，这也会影响Android应用程序。通过拦截包含链接预览的消息以将缩略图URL指向非Microsoft域，Positive Security表示可以访问用户的IP地址和用户代理数据。

"虽然发现的漏洞影响有限，但令人惊讶的是，这种简单的攻击媒介似乎以前从未经过测试，而且微软没有意愿或资源来保护他们的用户免受它们的侵害，"Positive Security的联合创始人Fabian Bräunlein说。