Microsoft Teams: Kritische Lücke ermöglichte Remote Code Execution

Die Kommunikations-Plattform Microsoft Teams war mit einer kritischen Sicherheitslücke ausgestattet. Mit der Schwachstelle hatten Angreifer die Möglichkeit, Schadcode auf dem PC eines Nutzers auszuführen. Nachdem Microsoft das Problem verharmlost hat, wurde der Bug nun behoben. Der Fehler wurde vom Sicherheitsforscher Oskars Vegeris entdeckt und auf GitHub ver­öf­fent­licht. Die Sicherheitslücke ermöglichte es Hackern, anderen Nutzern eine modifizierte Nachricht zu senden. Beim Empfangen der Nachricht wurde der enthaltene Schadcode aus­ge­führt, ohne dass eine weitere Handlung des Nutzers erforderlich ist. Damit konnten An­grei­fer beliebigen Code auf fremden PCs ausführen und die jeweiligen Systeme übernehmen. In Microsoft Teams konnte eine schwerwiegende Schwachstelle gefunden werden Für die Schwachstelle war das AngularJS-Fra­me­work verantwortlich. Hiermit war es möglich, Javascript-Code, der an eine Nachricht an­ge­hängt wurde, auszuführen.

Lücke in niedrige Kategorie eingeordnet

Obwohl es sich um eine sehr schwerwiegende Sicherheitslücke handelt und Angreifer hiermit eine Remote Code Execution (RCE) durchführen konnten, haben die Redmonder den Fehler zu­nächst in den Bereich Spoofing und damit in eine der niedrigsten Kategorien des eigenen Bug-Bounty-Programms eingeordnet.

Damit hat der Sicherheitsforscher auch nur eine geringe Belohnung für das Entdecken der Schwachstelle erhalten. Microsoft begründet die Einordnung damit, dass der Desktop-Client von Teams überhaupt nicht vom Bug-Bounty-Programm abgedeckt wird und nur eine mög­li­che Accountübernahme in Kombination mit der Web-Anwendung berücksichtigt wurde.

Da die Redmonder die Sicherheitslücke inzwischen geschlossen haben, sollten die Nutzer des Programms ein Update auf die neueste Version von Microsoft Teams durchführen. In den meis­ten Fällen dürfte die Aktualisierung allerdings schon automatisch installiert worden sein.

Download Microsoft Teams Mehr zu Microsoft Teams: