Encuentran varias vulnerabilidades no parcheadas en Microsoft Teams

La compañía de Redmond solo habría solucionado uno de los problemas, pese a que tiene constancia de ellos desde marzo.

Alberto Payo

Periodista

Guardar

microsoft teams
microsoft teams

Los problemas de ciberseguridad se le acumulan a Microsoft en este final de año, aunque esta no parece demasiado preocupada por ello. 

Unos investigadores de amenazas han encontrado que existen vulnerabilidades que no han sido parcheadas por la compañía en su software de trabajo colaborativo y videoconferencias Microsoft Teams

La empresa de Satya Nadella indicó que no arreglará o enviará parches a una fecha posterior para tres de las cuatro fallas de seguridad encontradas en la plataforma de comunicación empresarial a principios de marzo y comunicadas a la firma. 

El hallazgo ha sido realizado por la firma de ciberseguridad alemana Positive Security. Según han compartido, la implementación de la función de vista previa del enlace era susceptible a una serie de problemas que podrían "permitir el acceso a los servicios internos de Microsoft, falsificar la previsualización del link y, de cara a los usuarios de Android, filtrar su dirección IP y hacer un ataque de denegación de servicio (DoS) de sus aplicaciones y canales de Teams".

Solo un problema ha sido solucionado

Parece que de las cuatro vulnerabilidades mencionadas la compañía de Redmond solo habría abordado hasta ahora la que da como resultado la fuga de direcciones IP de los dispositivos Android. 

Microsoft comentó que está planteándose incluir una solución en una versión futura de su plataforma para la falla de seguridad de denegación de servicio. Esta vulnerabilidad, que afecta a la versión de Android de Microsoft Teams, puede conseguir que la app se bloquee simplemente enviando un mensaje con una vista previa de un enlace especialmente diseñada con un contenido no válido en lugar de una URL legítima. 

No obstante, la falla principal permite la falsificación de solicitudes en el lado del servidor en el endpoint "/ urlp / v1 / url / info" que podría explotarse para obtener información de la red local de Microsoft. 

Además, hay un error de suplantación de identidad por el cual el enlace de vista previa se puede modificar para que apunte cualquier URL maliciosa, mientras el enlace principal sigue intacto, así como la vista previa y la descripción. Esto es preocupante porque los actores de amenazas pueden llevar a cabo ataques de phishing mejorados y ocultar su actividad maliciosa. 

"Si bien las vulnerabilidades descubiertas tienen un impacto limitado, es sorprendente que aparentemente no se hayan probado vectores de ataque tan simples como antes y que Microsoft no tenga la voluntad o los recursos para proteger a sus usuarios de ellas", asegura el cofundador de Positive Security, Fabian Bräunlein.