Schwerwiegende Sicherheitslücke in Microsoft TeamsVertrauliche Konversationen und Dateien offengelegt
15. Juni 2021Details zu einer schwerwiegenden Sicherheitslücke in Microsoft Teams hat Tenable bekannt gegeben, die vom Zero-Day Research Team des Unternehmens entdeckt wurde. Durch den Missbrauch der Power Apps-Funktionalität könnten Bedrohungsakteure dauerhaften Lese-/Schreibzugriff auf E-Mails, Teams-Chats, OneDrive, Sharepoint und eine Vielzahl anderer Dienste eines Opferbenutzers erlangen.
Die Power Apps-Funktionalität ist ein separates Produkt, das innerhalb von Teams für die Erstellung und Verwendung benutzerdefinierter Business-Anwendungen verwendet wird. Cyber-Angreifer verschaffen sich Zugang über eine bösartige Microsoft Teams-Registerkarte und Power Automate-Flows.
Laut Microsoft erreichte Teams 145 Millionen täglich aktive Nutzer im März 2021, was einem Anstieg von rund 90 Prozent in den letzten zwölf Monaten entspricht. Das Wachstum ist vor allem auf die Zunahme von Fernarbeit und -studium zurückzuführen. Viele Unternehmen versuchen ihr Möglichstes, um Cloud-basierte Kommunikation und Zusammenarbeit so einfach wie möglich zu gestalten.
„Trotz ihrer Einfachheit stellt diese Schwachstelle ein erhebliches Risiko dar. So könnte sie genutzt werden, um eine Reihe verschiedener Angriffe über eine Vielzahl von Diensten zu starten. Dabei ließen sich möglicherweise sensible Dateien und Konversationen preisgeben. Ebenso könnte die Schwachstelle es einem Angreifer ermöglichen, sich als andere Benutzer auszugeben und Aktionen in deren Namen durchzuführen“, erklärte Evan Grant, Staff Research Engineer bei Tenable. „Angesichts der Anzahl der Zugriffstoken, die diese Schwachstelle offenlegt, gibt es wahrscheinlich weitere kreative und schwerwiegende potenzielle Angriffe, die in unserem Proof-of-Concept nicht untersucht wurden.“
Die Ausnutzung dieser Schwachstelle ist auf authentifizierte Benutzer innerhalb einer Teams-Organisation beschränkt, die die Möglichkeit haben, Power Apps-Tabs zu erstellen. Die bedeutet, dass sie nicht von einem nicht vertrauenswürdigen oder nicht authentifizierten Angreifer ausgenutzt werden kann. Die Berechtigung zum Erstellen dieser Registerkarten ist jedoch standardmäßig aktiviert, was bedeutet, dass ein Drittanbieter, ein verärgerter Mitarbeiter oder sogar ein ehemaliger Mitarbeiter, dem der Zugriff nicht entzogen wurde, einen Angriff starten könnte. Derzeit gibt es keine Anzeichen dafür, dass diese Sicherheitslücke in freier Wildbahn ausgenutzt wurde. Microsoft hat eine Lösung für dieses Problem implementiert, so dass keine weiteren Maßnahmen seitens der Endbenutzer erforderlich sind.
Microsoft Teams verfügt über eine Standardfunktion, die es Benutzern ermöglicht, Anwendungen als Tab innerhalb eines Teams zu starten, dem sie angehören. Unternehmen, die Office 365 oder Microsoft Teams mit einer Business Basic-Lizenz oder höher verwenden, können auch Microsoft Power Apps innerhalb dieser Tabs starten. Tenable entdeckte, dass Inhalte, die in diese Power Apps-Tabs geladen wurden, von einer unsachgemäß verankerten regulären Expression gesteuert wurden.
Das heißt, dass der Validierungsmechanismus, der zur Bestätigung, dass der Inhalt im Tab aus einer vertrauenswürdigen Quelle stammt, nur überprüft, ob eine bestimmte URL mit „https://make.powerapps.com“ beginnt, und keine weitere Validierung vornimmt. Das wiederum bedeutet, dass ein Angreifer einfach eine Subdomain von „make.powerapps.com“ für eine beliebige von ihm kontrollierte Domain erstellen kann, z. B. „https://make.powerapps.com.fakecorp.ca“, wodurch er nicht vertrauenswürdige Inhalte in einen Power Apps-Tab laden kann.
Der Schweregrad dieser Schwachstelle wird durch die für Microsoft Power Apps innerhalb von Microsoft Teams gewährten Berechtigungen verstärkt. Eine erfolgreiche Ausnutzung dieser Schwachstelle ermöglicht es Angreifern, die Kontrolle über alle Benutzer zu übernehmen, die auf den bösartigen Tab zugreifen. Dies umfasst das Lesen der Gruppennachrichten der Opfer innerhalb von Teams, den Zugriff auf die E-Mails und den OneDrive-Speicher der Benutzer und vieles mehr.
Da es sich hierbei um eine serverseitige Sicherheitslücke handelt, hat Microsoft das Problem behoben, ohne dass eine Benutzeraktion erforderlich ist. Die Schwachstelle wurde bereits gepatcht, daher wird kein Proof-of-Concept veröffentlicht. (rhh)
Ein Angriffssimulationsvideo findet sich hier …