Microsoft Teams: Kritische Lücke ermöglichte Remote Code Execution

Von Tobias Rduch am 08.12.2020 13:26 Uhr
1 Kommentare
Die Kommunikations-Plattform Microsoft Teams war mit einer kritischen Sicherheitslücke ausgestattet. Mit der Schwachstelle hatten Angreifer die Möglichkeit, Schadcode auf dem PC eines Nutzers auszuführen. Nachdem Microsoft das Problem verharmlost hat, wurde der Bug nun behoben.

Der Fehler wurde vom Sicherheitsforscher Oskars Vegeris entdeckt und auf GitHub ver­öf­fent­licht. Die Sicherheitslücke ermöglichte es Hackern, anderen Nutzern eine modifizierte Nachricht zu senden. Beim Empfangen der Nachricht wurde der enthaltene Schadcode aus­ge­führt, ohne dass eine weitere Handlung des Nutzers erforderlich ist. Damit konnten An­grei­fer beliebigen Code auf fremden PCs ausführen und die jeweiligen Systeme übernehmen.

Microsoft Teams
In Microsoft Teams konnte eine schwerwiegende Schwachstelle gefunden werden

Für die Schwachstelle war das AngularJS-Fra­me­work verantwortlich. Hiermit war es möglich, Javascript-Code, der an eine Nachricht an­ge­hängt wurde, auszuführen.

Lücke in niedrige Kategorie eingeordnet

Obwohl es sich um eine sehr schwerwiegende Sicherheitslücke handelt und Angreifer hiermit eine Remote Code Execution (RCE) durchführen konnten, haben die Redmonder den Fehler zu­nächst in den Bereich Spoofing und damit in eine der niedrigsten Kategorien des eigenen Bug-Bounty-Programms eingeordnet.

Damit hat der Sicherheitsforscher auch nur eine geringe Belohnung für das Entdecken der Schwachstelle erhalten. Microsoft begründet die Einordnung damit, dass der Desktop-Client von Teams überhaupt nicht vom Bug-Bounty-Programm abgedeckt wird und nur eine mög­li­che Accountübernahme in Kombination mit der Web-Anwendung berücksichtigt wurde.

Da die Redmonder die Sicherheitslücke inzwischen geschlossen haben, sollten die Nutzer des Programms ein Update auf die neueste Version von Microsoft Teams durchführen. In den meis­ten Fällen dürfte die Aktualisierung allerdings schon automatisch installiert worden sein.

Download Microsoft Teams
Mehr zu Microsoft Teams:
1 Kommentare lesen & antworten
whatsapp
Jede Woche neu: Top-News per E-Mail
Verwandte Themen
Office
Desktop-Version anzeigen
Hoch © 2021 WinFuture Impressum Datenschutz Cookies