En mars de cette année, Fabian Bräulein, cofondateur de l’association allemande Positive Security, a découvert certaines vulnérabilités dans Microsoft Teams. Cependant, Microsoft ne considère pas les problèmes suffisamment sérieux, et ils restent donc non résolus.
En mars de cette année, Microsoft a été informé par Positive Security de certaines vulnérabilités dans Microsoft Teams. Jusqu’à présent, l’entreprise n’a pas abordé la plupart des problèmes parce qu’ils n’étaient « pas assez graves ». Seule la divulgation des adresses IP sur Android a été résolu par Microsoft immédiatement.
SSRF et usurpation d’identité
Il s’agit avant tout d’une falsification de requête côté serveur (SSRF) qui permet aux criminels de procéder à un balayage de port ou à une utilisation abusive de services web fondés sur le protocole HTTP.
Le deuxième problème est l’usurpation d’identité. Dans ce cas, les pirates peuvent falsifier l’aperçu d’un lien de sorte qu’un lien vers un site malveillant semble légitime. De cette manière, les cybercriminels vous conduisent vers une page d’hameçonnage afin d’obtenir vos données.
Adresses IP en déni de service
Lorsqu’un tel aperçu est créé, tout n’est pas vérifié correctement. Par conséquent, les cybercriminels peuvent également découvrir l’adresse IP d’une personne sur Android. Enfin, un problème de déni (DoS) fait planter complètement Microsoft Teams sur Android après l’ouverture d’un lien malveillant.
Pour le moment, Microsoft ne s’est attaqué qu’au problème IP. Les trois autres vulnérabilités présentent actuellement un risque trop faible selon l’entreprise.