Sicherheitslücke: Remote Code Execution in Microsoft Teams

Im Desktop-Client von Microsoft Teams fand sich eine extrem kritische Sicherheitslücke, aber Microsoft hat das Problem heruntergespielt.

Artikel veröffentlicht am 7. Dezember 2020, 17:04 Uhr, Hanno Böck

Microsoft stufte eine extrem kritische Sicherheitslücke im Desktop-Client von Teams in die niedrigste Kategorie seines Bugbounty-Programms ein. (Bild: Dcoetzee, Wikimedia Commons)

Ein Sicherheitsforscher hat in Microsofts Chatsystem Teams eine Cross-Site-Scripting-Lücke entdeckt. Besonders kritisch ist die Lücke für den Teams-Desktop-Client, aber auch in der Webversion kann sie genutzt werden, um fremde Accounts zu übernehmen. Microsoft sortierte die Lücke in seinem Bugbounty-Programm jedoch in eine eher harmlose Kategorie ein.

Stellenmarkt

ARZ Haan AG, Stuttgart, Nürnberg, München
HABA Group B.V. & Co. KG, Bad Rodach

Der Entdecker der Lücke, Oskars Vegeris, hat auf Github eine Beschreibung veröffentlicht. Die Lücke nutzt dabei bestimmte Eigenschaften des AngularJS-Frameworks aus, das Microsoft für Teams verwendet. Mit Hilfe einer einfachen Chatnachricht kann man damit bei anderen Nutzern Javascript-Code ausführen.

Accounts übernehmen in der Webanwendung, Remote Code Execution auf dem Desktop

Schon in der Webanwendung reicht das, um fremde Accounttokens von Microsofts Single-Sign-on-System zu stehlen. Sprich: Man kann die Microsoft-Accounts anderer Teams-Nutzer übernehmen, wenn man diesen eine Nachricht schreiben kann. Die Desktop-Anwendung von Teams nutzt das Framework Electron. Dort gelang es Vegeris, die von Elektron vorgesehenen Schutzmechanismen zu umgehen und direkt Code auf dem System auszuführen.

Eine solche Remote-Code-Execution-Lücke gehört eigentlich zu den kritischsten Lücken, die man sich vorstellen kann. Doch Microsoft sah das offenbar anders. Die Lücke wurde für das Bugbounty-Programm von Microsofts Cloudanwendungen, zu denen auch Teams gehört, lediglich in die Kategorie Spoofing einsortiert, eine der niedrigsten Kategorien des Programms. Entsprechend niedrig dürfte die Entlohnung für den Finder der Lücke ausgefallen sein.

Desktop-Client ist nicht Teil von Microsofts Bugbounty-Programm

Begründet hat Microsoft das offenbar damit, dass der Desktop-Client von dem Bugbounty-Programm nicht abgedeckt ist. Nutzer von Teams dürfte es überraschen, dass Microsoft die Sicherheit des Desktop-Clients offenbar nicht so wichtig ist, insbesondere da Microsoft zuletzt angefangen hat, Nutzer der Web-Version von Teams immer aggressiver dazu aufzufordern, möglichst den Desktop-Client zu nutzen.

Doch selbst wenn man nur den Web-Teil der Lücke betrachtet - eine Accountübernahme alleine ist auch keine harmlose Lücke. Als zweithöchste Kategorie listet das Bugbounty-Programm von Microsoft Elevation of Privilege, also das Ausweiten von Rechten auf. Es ist kaum nachvollziehbar, warum eine Methode zum Übernehmen fremder Accounts nicht darunterfallen sollte.

Auch sonst schien die Kommunikation zwischen Microsoft und dem Sicherheitsforscher nicht optimal abzulaufen. So schreibt der Entdecker der Lücke auf Hacker News, dass er nicht genau weiß, wann das Problem behoben wurde, da Microsoft ihn nicht darüber informiert hat.

Nutzer des Teams-Desktopclients sollten sicherstellen, dass sie die aktuellste Version verwenden. Üblicherweise aktualisiert sich die Software allerdings in der Standardeinstellung selbst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de