Eine kritische Schwachstelle in Microsoft Teams wurde geschlossen. Es handelte sich dabei um eine Zero-Click Remote Code Execution und hatte das Potenzial ganze Unternehmensnetze zu kompromittieren. Eine Live Demonstration zeigt anschaulich, dass das Anzeigen einer Nachricht für eine Kompromittierung gereicht hätte. Die Einschätzung über die ausgehende Gefahr dieser Lücke seitens Microsoft lag weit daneben.
Eine Software die alle nutzen ist ein kritisches Ziel!
Die Diskussion die oft in IT-Sicherheitskreisen geführt wird, ist die nach der “sichersten” Software. Dabei wird seitens der Angreifer oft die Software zum Angriff ausgewählt, die sich über eine breite Nutzerbasis freut. Was damals die Betriebssysteme waren sind heute sogenannte Standard Anwendungen. Dazu zählen neben dem Betriebssystem auch Browser, E-Mail Clients aber auch seit wenigen Jahren sogenannte Unternehmensmessenger.
Der Kampf zwischen Microsoft Teams, Slack und Google Chat ist in vollem Gange. Slack ist Anfang Dezember von Salesforce für 27,7 Milliarden USD gekauft worden. Das zeigt, welche Erwartungshaltung an die Messenger gestellt wird. Wenn sich ein Unternehmen auf einen Messenger einigt, ist diese zusätzliche Software jedoch stets ein zusätzliche Risiko. Der Quellcode ist nicht Open Source und in Bezug auf IT-Sicherheit muss man Microsoft gegenüber mit einem Vertrauensvorschuss gegenübertreten.
Kritische Schwachstelle in Microsoft Teams zeigt möglichen Impact!
Microsoft Teams freut sich über 115 Millionen aktive Nutzer . Jeden Tag. Eine große Anzahl an Personen. Umso kritischer ist es wenn eine entdeckt wird die keine explizite Nutzerhandlung erfordert (Zero-Click). Zusätzlich kritisch wird die Lücke dadurch, das beliebiger Code ausgeführt werden kann. Und zwar von Dritten aus der Distanz heraus (Remote Code Execution).
In dem Beispiel ist schnell zu erkennen, dass die Nachricht selber nur angezeigt werden muss. Eine Nutzerhandlung ist nicht nötig. Dass sich der Taschenrechner öffnet ist nur ein Beispiel dafür, dass aus der Anwendung heraus beliebiger Code bzw. Befehle abgesendet werden können. In dem Fall eben der Taschenrechner. Mit dem hat Microsoft Teams schließlich wenig zu tun.
Warum gibt es keine CVE zu dieser kritischen Schwachstelle in Microsoft Teams?
Wer, wie für Sicherheitslücken üblich, jetzt nach einer CVE schaut, der sucht vergeblich. Microsoft vergibt CVE-Nummern ausschließlich an Sicherheitslücken, die der Nutzer durch eine Interaktion schließen muss. Bei Anwendungen, durch die das automatisch gelingt, wird hingegen keine CVE-Nummer vergeben. Und das trifft auf Microsoft Teams zu. Die Anwendung wird automatisch aktualisiert. Am 30.09 sortierte Microsoft die Sicherheitslücke als “wichtig, spoofing” ein – die niedrigste Einstufung. Aus unserer Sicht eine Fehleinschätzung.
