Microsoft Teams のバグ:3月からフィッシングの脅威にさらされている?

Microsoft Teams bug allowing phishing unpatched since March

2021/12/22 BleepingComputer — Microsoft の発表は、2021年3月以降に報告された Microsoft Teams のリンクプレビュー機能に影響をおよぼす、複数のセキュリティ欠陥について、修正しないか、パッチを延期するというものだった。ドイツの IT セキュリティ・コンサルタント会社 Positive Security の Fabian Bräunlein が発見した4つの脆弱性は、Server-Side Request Forgery (SSRF)、URLプレビューの偽装、IP アドレスの漏洩 (Android) と、Message of Death (Android)と名付けられたサービス拒否 (DoS) につながるものだった。

Microsoft の製品およびサービスの脆弱性報告を調査する Microsoft Security Response Center (MSRC) に対して、Bräunlein は4つの欠陥を報告した。彼は、「この脆弱性により、Microsoft の内部サービスへのアクセスや、リンク・プレビューの偽装が可能となり、さらに Android ユーザーの場合には、IP アドレスの漏洩やTeams アプリ/チャンネル の DoS 化が可能になる」と述べている。

これらの4つの脆弱性のうち、Android 端末を使用する攻撃者が、ターゲットの IP アドレスにアクセスする1つの脆弱性にのみ、Microsoft は対処した。その他のバグについて同社は、「SSRF の脆弱性については、現行バージョンでは修正しないが、DoS の脆弱性については、将来のリリースで修正を検討する」と述べている。

ユーザーをフィッシングにさらすバグはパッチが当てられない

脅威アクターによるフィッシング攻撃や、悪意のリンクのカモフラージュに使用される可能性がある、URL プレビューの偽装バグについては、Teams ユーザーに危険をおよぼさないと判断された。Microsoft は、「この問題について MSRC が調査した結果、ユーザーが URL をクリックすると、ユーザーが期待していたものとは違うと判断できる、悪意の URL にアクセスする必要が生じるため、緊急の注意が必要なほどの脅威にはならない」と結論づけた。

その一方で Bräunlein は、「今回発見された脆弱性の影響は限定的だが、このような単純な攻撃ベクターがテストされていなかったこと、そして、Microsoft がユーザーを保護する意思やリソースを持っていないことに、驚きを感じる」と付け加えている。

Microsoft が、この成りすましキャンペーンに悪用される可能性のあるバグに対処しないのは、7月以降における同社の方針により、Teams は URL ベースのフィッシング攻撃からユーザーを保護するために、Defender for Office 365 Safe Links protection を使用していることが理由なのかもしれない。

この Safe Links 保護機能は、すべての Teams ユーザーに提供されており、チャット/グループチャット/Teamsチャンネルで共有されるリンクに対して機能するが、Microsoft 365 Defender ポータルで、セーフリンク・ポリシーを ON に設定する必要がある。

2021年11月に「Microsoft Office 365:全ユーザーのディフォルト保護レベルを Admin 設定で強化する」という記事をポストしています。そこには、「セキュリティ・プリセットにより、組織の全体的なセキュリティ態勢を向上させるようデザインされている。また、一度導入された後は、テナントに追加された新規ドメインに対しても、自動的に基本レベルの Safe Attachments と Safe Links の保護が適用される」と記述されて、この記事の推測と一致するようにも思えます。

%d bloggers like this: