Microsoft Teamsの「強制終了」や「詐欺サイト誘導」が可能な脆弱性が9カ月以上放置されている

リモートワークの普及によってMicrosoft TeamsやZoomなどのコミュニケーションツールが広く使われるようになりました。そんな中、セキュリティ企業のPositive SecurityがMicrosoft Teamsに存在する4件の脆弱(ぜいじゃく)性を報告しています。

MS Teams: 1 feature, 4 vulnerabilities | Positive Security
https://positive.security/blog/ms-teams-1-feature-4-vulns

MicrosoftTeamsでは、URLを含むメッセージを送信するとサムネイルやリンク先の情報の一部がプレビューとして表示されます。Positive Securityはプレビュー機能が悪用される可能性を検証し、4件の脆弱性を発見しました。

◆1：Microsoftのサーバーを介した攻撃
プレビューはMicrosoftのサーバーで生成されており、プレビュー機能を悪用してユーザーを直接攻撃することは困難です。しかし、Positive SecurityによるとMicrosoftのサーバー自体への攻撃は比較的容易であり、Microsoftのサーバーを介してユーザーを攻撃する「SSRF攻撃」と呼ばれる手法が実行可能とのことです。

◆2：なりすましプレビューの作成
Positive Securityはプレビューに表示されたURLやサムネイルを維持しつつ、プレビューのリンク先を変更できる脆弱性も発見。実際に脆弱性を利用する様子を録画したムービーを公開しています。

公開されたムービーでは、「bing.com」へのリンクを「google.com」へのリンクに書き換えています。

書き換えた後も、Microsoft Teamsに表示されたURLは「https://bing.com/」のままですが……

プレビューをクリックすると、Googleのトップページが開かれました。この脆弱性が悪用されると、ユーザーが悪意あるウェブサイトへ接続してしまう可能性があります。

◆3：IPアドレスの傍受
プレビュー画面に表示されるサムネイルはMicrosoftのサーバーが生成しており、サムネイルをクリックしてウェブサイトにアクセスしてもユーザーのIPアドレスやユーザーエージェントがウェブサイトに伝わらない仕組みとなっています。しかし、Positive Securityはサムネイルにリンク先を変更できる脆弱性を発見しました。Positive Securityによると、Android向けのMicrosoft Teamsにはドメインを制限する機能が存在しておらず、発見された脆弱性を悪用することでユーザーのIPアドレスやユーザーエージェントを不正に入手できる状態となっていたとのこと。記事作成時点では、この脆弱性は修正済みです。

◆4：1通のメッセージを送信するだけで強制的にクラッシュさせる
Android向けのMicrosoft Teamsでは、上記の脆弱性に加えて「不正なURLを含むメッセージを受信すると、アプリがクラッシュする」という脆弱性も発見されました。Positive Securityが公開したムービーを再生すると、不正なURLを受信したチャット画面を開いた瞬間にMicrosoft Teamsがクラッシュする様子を確認できます。

Positive Securityは、4件の脆弱性を2021年3月10日にMicrosoftへ報告しました。そして2021年12月15日に脆弱性を再検証した結果、「IPアドレスの傍受」のみが修正されており、他の3件は修正されていませんでした。Positive Securityは「発見された脆弱性の影響は限定的です。しかし、単純な攻撃がテストされていないように見えることや、Microsoftがユーザーを保護する意欲やリソースを持っていないことは驚くべきことです」と述べています。