A Microsoft foi acusada de minimizar a gravidade de um problema de segurança encontrado em sua plataforma de colaboração Microsoft Teams, que foi corrigido discretamente em outubro.
De acordo com um relatório do engenheiro de segurança Oskars Vegeris, a empresa não avisou os usuários sobre o problema e nem buscou a classificação Common Vulnerabilities and Exposures (CVE), alegando que os patches do Microsoft Teams são instalados automaticamente.
Aproximadamente um mês após a divulgação, a vulnerabilidade de cross-site scripting (XSS) foi classificada pela Microsoft como “Importante, falsificação”, que Vegeris descreve como “uma das classificações de escopo mais baixas possíveis”.
No entanto, o escopo de ataques potenciais e a oportunidade de acessar várias áreas diferentes da rede infectada significa que exige uma classificação de ameaça muito mais elevada, afirma Vegeris.
Vulnerabilidade do Microsoft Teams
Esta vulnerabilidade específica do Microsoft Teams, de acordo com o pesquisador, pode abrir a porta para a “execução remota de código em plataforma cruzada e sem clique”.
Dividido para o leigo, isso significa que o ataque não depende de um erro por parte da vítima (como clicar em um link perigoso), a infecção pode passar de um computador para o outro e a exploração permite que o hacker execute ações maliciosas código em máquinas infectadas à vontade.
Como Vegeris descreve, um invasor pode enviar ou editar uma mensagem que parece idêntica a qualquer outra. Quando o registro de bate-papo relevante é aberto, o código é lançado na máquina da vítima.
“É isso aí. Não há mais interação da vítima. Agora, a rede interna da sua empresa, documentos pessoais, documentos / correspondência / notas do O365 e bate-papos secretos estão totalmente comprometidos ”, escreveu Vegeris.
“Pense nisso. Uma mensagem, um canal, sem interação. Todo mundo é explorado. ”
De acordo com o relatório, a exploração também pode ter permitido que invasores roubassem tokens SSO do Office 365 (dando a eles acesso a registros de e-mail corporativo, documentos etc.), escalassem seus privilégios administrativos e obtivessem acesso às câmeras e microfones de dispositivos infectados.
Além disso, se uma organização convidou entidades convidadas para sua rede de equipes (geralmente clientes ou clientes), a infecção também poderia, em teoria, alternar entre empresas.
“Pelo menos agora temos uma nova piada entre colegas – sempre que recebemos um bug de execução remota de código, o chamamos de ‘Importante, spoofing’. Obrigado, Microsoft ”, brincou Vegeris.
Um porta-voz da Microsoft desde então forneceu a seguinte declaração, embora não tenha feito nenhum comentário adicional sobre se a gravidade do bug foi originalmente atenuada:
“Reduzimos o problema com uma atualização em outubro, que implantou e protegeu os clientes automaticamente.”
O Microsoft Teams é um dos principais aplicativo de reuniões on-line atualmente.