Awareness

Kritische Schwachstelle in Microsoft Teams geschlossen!

Aktualisiert am

Eine kritische Schwachstelle in Microsoft Teams wurde geschlossen. Es handelte sich dabei um eine Zero-Click Remote Code Execution und hatte das Potenzial ganze Unternehmensnetze zu kompromittieren. Eine Live Demonstration zeigt anschaulich, dass das Anzeigen einer Nachricht für eine Kompromittierung gereicht hätte. Die Einschätzung über die ausgehende Gefahr dieser Lücke seitens Microsoft lag weit daneben.

Eine Software die alle nutzen ist ein kritisches Ziel!

Die Diskussion die oft in IT-Sicherheitskreisen geführt wird, ist die nach der “sichersten” Software. Dabei wird seitens der Angreifer oft die Software zum Angriff ausgewählt, die sich über eine breite Nutzerbasis freut. Was damals die Betriebssysteme waren sind heute sogenannte Standard Anwendungen. Dazu zählen neben dem Betriebssystem auch Browser, E-Mail Clients aber auch seit wenigen Jahren sogenannte Unternehmensmessenger.

Der Kampf zwischen Microsoft Teams, Slack und Google Chat ist in vollem Gange. Slack ist Anfang Dezember von Salesforce für 27,7 Milliarden USD gekauft worden. Das zeigt, welche Erwartungshaltung an die Messenger gestellt wird. Wenn sich ein Unternehmen auf einen Messenger einigt, ist diese zusätzliche Software jedoch stets ein zusätzliche Risiko. Der Quellcode ist nicht Open Source und in Bezug auf IT-Sicherheit muss man Microsoft gegenüber mit einem Vertrauensvorschuss gegenübertreten.

Kritische Schwachstelle in Microsoft Teams zeigt möglichen Impact!

Microsoft Teams freut sich über 115 Millionen aktive Nutzer . Jeden Tag. Eine große Anzahl an Personen. Umso kritischer ist es wenn eine entdeckt wird die keine explizite Nutzerhandlung erfordert (Zero-Click). Zusätzlich kritisch wird die Lücke dadurch, das beliebiger Code ausgeführt werden kann. Und zwar von Dritten aus der Distanz heraus (Remote Code Execution).

Eine kritische Schwachstelle in Microsoft Teams ausgenutzt.
Eine kritische Schwachstelle in Microsoft Teams ausgenutzt. (Quelle:github.com)

In dem Beispiel ist schnell zu erkennen, dass die Nachricht selber nur angezeigt werden muss. Eine Nutzerhandlung ist nicht nötig. Dass sich der Taschenrechner öffnet ist nur ein Beispiel dafür, dass aus der Anwendung heraus beliebiger Code bzw. Befehle abgesendet werden können. In dem Fall eben der Taschenrechner. Mit dem hat Microsoft Teams schließlich wenig zu tun.

Warum gibt es keine CVE zu dieser kritischen Schwachstelle in Microsoft Teams?

Wer, wie für Sicherheitslücken üblich, jetzt nach einer CVE schaut, der sucht vergeblich. Microsoft vergibt CVE-Nummern ausschließlich an Sicherheitslücken, die der Nutzer durch eine Interaktion schließen muss. Bei Anwendungen, durch die das automatisch gelingt, wird hingegen keine CVE-Nummer vergeben. Und das trifft auf Microsoft Teams zu. Die Anwendung wird automatisch aktualisiert. Am 30.09 sortierte Microsoft die Sicherheitslücke als “wichtig, spoofing” ein – die niedrigste Einstufung. Aus unserer Sicht eine Fehleinschätzung.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.