Sicherheitslücke: Remote Code Execution in Microsoft Teams

Im Desktop-Client von Microsoft Teams fand sich eine extrem kritische Sicherheitslücke, aber Microsoft hat das Problem heruntergespielt.

Artikel veröffentlicht am ,
Microsoft stufte eine extrem kritische Sicherheitslücke im Desktop-Client von Teams in die niedrigste Kategorie seines Bugbounty-Programms ein.
Microsoft stufte eine extrem kritische Sicherheitslücke im Desktop-Client von Teams in die niedrigste Kategorie seines Bugbounty-Programms ein. (Bild: Dcoetzee, Wikimedia Commons)

Ein Sicherheitsforscher hat in Microsofts Chatsystem Teams eine Cross-Site-Scripting-Lücke entdeckt. Besonders kritisch ist die Lücke für den Teams-Desktop-Client, aber auch in der Webversion kann sie genutzt werden, um fremde Accounts zu übernehmen. Microsoft sortierte die Lücke in seinem Bugbounty-Programm jedoch in eine eher harmlose Kategorie ein.

Stellenmarkt
  1. Softwareentwickler (m/w/d) C# / .NET HR-Lösungen
    HANSALOG BPS GmbH, Hamburg
  2. Datenbank-Entwickler (m/w/d)
    DZ PRIVATBANK S.A., Luxemburg (Luxemburg)
Detailsuche

Der Entdecker der Lücke, Oskars Vegeris, hat auf Github eine Beschreibung veröffentlicht. Die Lücke nutzt dabei bestimmte Eigenschaften des AngularJS-Frameworks aus, das Microsoft für Teams verwendet. Mit Hilfe einer einfachen Chatnachricht kann man damit bei anderen Nutzern Javascript-Code ausführen.

Accounts übernehmen in der Webanwendung, Remote Code Execution auf dem Desktop

Schon in der Webanwendung reicht das, um fremde Accounttokens von Microsofts Single-Sign-on-System zu stehlen. Sprich: Man kann die Microsoft-Accounts anderer Teams-Nutzer übernehmen, wenn man diesen eine Nachricht schreiben kann. Die Desktop-Anwendung von Teams nutzt das Framework Electron. Dort gelang es Vegeris, die von Elektron vorgesehenen Schutzmechanismen zu umgehen und direkt Code auf dem System auszuführen.

Eine solche Remote-Code-Execution-Lücke gehört eigentlich zu den kritischsten Lücken, die man sich vorstellen kann. Doch Microsoft sah das offenbar anders. Die Lücke wurde für das Bugbounty-Programm von Microsofts Cloudanwendungen, zu denen auch Teams gehört, lediglich in die Kategorie Spoofing einsortiert, eine der niedrigsten Kategorien des Programms. Entsprechend niedrig dürfte die Entlohnung für den Finder der Lücke ausgefallen sein.

Desktop-Client ist nicht Teil von Microsofts Bugbounty-Programm

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Begründet hat Microsoft das offenbar damit, dass der Desktop-Client von dem Bugbounty-Programm nicht abgedeckt ist. Nutzer von Teams dürfte es überraschen, dass Microsoft die Sicherheit des Desktop-Clients offenbar nicht so wichtig ist, insbesondere da Microsoft zuletzt angefangen hat, Nutzer der Web-Version von Teams immer aggressiver dazu aufzufordern, möglichst den Desktop-Client zu nutzen.

Doch selbst wenn man nur den Web-Teil der Lücke betrachtet - eine Accountübernahme alleine ist auch keine harmlose Lücke. Als zweithöchste Kategorie listet das Bugbounty-Programm von Microsoft Elevation of Privilege, also das Ausweiten von Rechten auf. Es ist kaum nachvollziehbar, warum eine Methode zum Übernehmen fremder Accounts nicht darunterfallen sollte.

Auch sonst schien die Kommunikation zwischen Microsoft und dem Sicherheitsforscher nicht optimal abzulaufen. So schreibt der Entdecker der Lücke auf Hacker News, dass er nicht genau weiß, wann das Problem behoben wurde, da Microsoft ihn nicht darüber informiert hat.

Nutzer des Teams-Desktopclients sollten sicherstellen, dass sie die aktuellste Version verwenden. Üblicherweise aktualisiert sich die Software allerdings in der Standardeinstellung selbst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sysadmin Day 2021
Immer mit dem Ohr an der Festplatte

Zum Sysadmin Day ein Blick auf einen Beruf, den ich fast zehn Jahre ausübte und immer wieder merkte: Ohne ausgeprägte Flexibilität ist er kaum zu bewältigen.
Ein Erfahrungsbericht von Jörg Thoma

Sysadmin Day 2021: Immer mit dem Ohr an der Festplatte
Artikel
  1. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  2. Amazon: Ältere Kindle-Modelle sind durch UMTS-Abschaltung nutzlos
    Amazon
    Ältere Kindle-Modelle sind durch UMTS-Abschaltung nutzlos

    Weltweit wird UMTS abgeschaltet - auch in Deutschland. Für Amazons erste Kindle-Modelle bedeutet das, dass keine Bücher mehr geladen werden können.

  3. Akkutechnik: CATL stellt erste Natrium-Ionen-Akkus für Autos vor
    Akkutechnik
    CATL stellt erste Natrium-Ionen-Akkus für Autos vor

    160 Wh pro Kilogramm. 80 Prozent Akkuladung in 15 Minuten. 90 Prozent Kapazität bei minus 20 Grad Celsius. CATL startet eine neue Ära der Akku-Technik.
    Eine Analyse von Frank Wunderlich-Pfeiffer

Mandri 08. Dez 2020

Alles, was MS ausliefert, stellt sich irgendwann als voller Macken heraus. Also natürlich...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Marken-Sparen bei MediaMarkt (u. a. Lenovo & Razer) • Tag der Freundschaft bei Saturn: 1 Produkt zahlen, 2 erhalten • Razer Deathadder V2 Pro Gaming-Maus 95€ • Alternate-Deals (u. a. Kingston 16GB Kit DDR4-3200MHz 81,90€) • Razer Kraken X Gaming-Headset 44€ [Werbung]
    •  /