Sicherheitslücke: Remote Code Execution in Microsoft Teams

Im Desktop-Client von Microsoft Teams fand sich eine extrem kritische Sicherheitslücke, aber Microsoft hat das Problem heruntergespielt.

Artikel veröffentlicht am ,
Microsoft stufte eine extrem kritische Sicherheitslücke im Desktop-Client von Teams in die niedrigste Kategorie seines Bugbounty-Programms ein.
Microsoft stufte eine extrem kritische Sicherheitslücke im Desktop-Client von Teams in die niedrigste Kategorie seines Bugbounty-Programms ein. (Bild: Dcoetzee, Wikimedia Commons)

Ein Sicherheitsforscher hat in Microsofts Chatsystem Teams eine Cross-Site-Scripting-Lücke entdeckt. Besonders kritisch ist die Lücke für den Teams-Desktop-Client, aber auch in der Webversion kann sie genutzt werden, um fremde Accounts zu übernehmen. Microsoft sortierte die Lücke in seinem Bugbounty-Programm jedoch in eine eher harmlose Kategorie ein.

Stellenmarkt
  1. Mitarbeiter (m/w/d) IT-Organisation/IT-Projektma- nagement
    Stadt Dessau-Roßlau, Dessau-Roßlau
  2. Teamlead IT (m/w/d)
    Nanoscribe GmbH & Co. KG, Eggenstein-Leopoldshafen
Detailsuche

Der Entdecker der Lücke, Oskars Vegeris, hat auf Github eine Beschreibung veröffentlicht. Die Lücke nutzt dabei bestimmte Eigenschaften des AngularJS-Frameworks aus, das Microsoft für Teams verwendet. Mit Hilfe einer einfachen Chatnachricht kann man damit bei anderen Nutzern Javascript-Code ausführen.

Accounts übernehmen in der Webanwendung, Remote Code Execution auf dem Desktop

Schon in der Webanwendung reicht das, um fremde Accounttokens von Microsofts Single-Sign-on-System zu stehlen. Sprich: Man kann die Microsoft-Accounts anderer Teams-Nutzer übernehmen, wenn man diesen eine Nachricht schreiben kann. Die Desktop-Anwendung von Teams nutzt das Framework Electron. Dort gelang es Vegeris, die von Elektron vorgesehenen Schutzmechanismen zu umgehen und direkt Code auf dem System auszuführen.

Eine solche Remote-Code-Execution-Lücke gehört eigentlich zu den kritischsten Lücken, die man sich vorstellen kann. Doch Microsoft sah das offenbar anders. Die Lücke wurde für das Bugbounty-Programm von Microsofts Cloudanwendungen, zu denen auch Teams gehört, lediglich in die Kategorie Spoofing einsortiert, eine der niedrigsten Kategorien des Programms. Entsprechend niedrig dürfte die Entlohnung für den Finder der Lücke ausgefallen sein.

Desktop-Client ist nicht Teil von Microsofts Bugbounty-Programm

Golem Karrierewelt
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    14./15.09.2022, Virtuell
Weitere IT-Trainings

Begründet hat Microsoft das offenbar damit, dass der Desktop-Client von dem Bugbounty-Programm nicht abgedeckt ist. Nutzer von Teams dürfte es überraschen, dass Microsoft die Sicherheit des Desktop-Clients offenbar nicht so wichtig ist, insbesondere da Microsoft zuletzt angefangen hat, Nutzer der Web-Version von Teams immer aggressiver dazu aufzufordern, möglichst den Desktop-Client zu nutzen.

Doch selbst wenn man nur den Web-Teil der Lücke betrachtet - eine Accountübernahme alleine ist auch keine harmlose Lücke. Als zweithöchste Kategorie listet das Bugbounty-Programm von Microsoft Elevation of Privilege, also das Ausweiten von Rechten auf. Es ist kaum nachvollziehbar, warum eine Methode zum Übernehmen fremder Accounts nicht darunterfallen sollte.

Auch sonst schien die Kommunikation zwischen Microsoft und dem Sicherheitsforscher nicht optimal abzulaufen. So schreibt der Entdecker der Lücke auf Hacker News, dass er nicht genau weiß, wann das Problem behoben wurde, da Microsoft ihn nicht darüber informiert hat.

Nutzer des Teams-Desktopclients sollten sicherstellen, dass sie die aktuellste Version verwenden. Üblicherweise aktualisiert sich die Software allerdings in der Standardeinstellung selbst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Autonomes Fahren
Fahrerlose Taxis treffen sich und blockieren eine Kreuzung

Fahrerlose Autos haben manchmal ihren eigenen Willen und können einen Stau verursachen.

Autonomes Fahren: Fahrerlose Taxis treffen sich und blockieren eine Kreuzung
Artikel
  1. Action: EA plant Battlefield-7-Kampagne - und provoziert Solospieler
    Action
    EA plant Battlefield-7-Kampagne - und provoziert Solospieler

    Mit einem Tweet bringt EA die Fans von Solokampagnen gegen sich auf, und sucht gleichzeitig einen Designer für das nächste Battlefield.

  2. Anti-Tamper: Neues Denuvo soll Free-to-Play-Spiele schützen
    Anti-Tamper
    Neues Denuvo soll Free-to-Play-Spiele schützen

    Mehrere 100.000 Euro teure Inhalte wie in Diablo Immortal laden zur Manipulation ein. Ein neues System von Denuvo soll das verhindern.

  3. Microsoft: Exchange Server von gut versteckter Hintertür betroffen
    Microsoft
    Exchange Server von gut versteckter Hintertür betroffen

    Sicherheitsforscher haben eine Backdoor gefunden, die zuvor gehackte Exchange-Server seit 15 Monaten zugänglich hält.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gigabyte RX 6800 679€ • Samsung SSD 2TB (PS5-komp.) 249,90€ • MindStar (Zotac RTX 3090 1.399€) • Nanoleaf günstiger • Alternate (TeamGroup DDR4-3600 16GB 49,99€, Be Quiet Silent Tower 159,90€) • iPhone SE (2022) günstig wie nie: 476,99€ • Switch OLED günstig wie nie: 333€ [Werbung]
    •  /