Немецкие исследователи кибербезопасности Positive Security обнаружили уязвимости в платформе Microsoft Teams, которая входит в пятерку наиболее популярных у российского бизнеса средств коммуникации. Уязвимости грозят фишинговыми атаками на пользователей или появлением вредоносных ссылок, предупреждают эксперты. При этом, по их оценкам, в Microsoft Teams, нацеленном на корпорации, меньше угроз, чем, например, в более популярном Zoom. Но основная проблема в том, что публичные сервисы в целом не дают гарантий безопасности — радикально решить вопрос можно только созданием собственной закрытой системы видео-конференц-связи.
Фото: Dado Ruvic / Reuters
В популярной платформе для корпоративных коммуникаций Microsoft Teams обнаружены четыре уязвимости. Пост об этом появился 22 декабря в блоге немецких исследователей кибербезопасности Positive Security. Из него следует, что компания уведомила Microsoft о проблемах еще в марте, но международный вендор исправил только одну уязвимость. Две недели назад в той же Positive Security писали, что Microsoft неверно оценила масштаб проблемы и полностью отклонила ее, после апелляции вопрос был классифицирован как «критический», но компания выплатила аналитикам только 10% от суммы вознаграждения по программе поиска уязвимостей — $5 тыс. вместо $50 тыс.
Речь идет об уязвимостях в функции предварительного просмотра ссылок: при щелчке на предварительном просмотре открывается ссылка, отличная от той, что ожидает пользователь.
Это может быть использовано либо для фишинговых атак, либо для скрытия вредоносных ссылок, считают в Positive Security. Кроме того, в компании отмечают, что пользователям Android уязвимости грозят утечкой IP-адресов.
В Microsoft заверили “Ъ”, что изучили все четыре уязвимости и «они не представляют непосредственной угрозы, требующей исправлений в системе безопасности».
«Компания получала подобные сообщения в прошлом и недавно внесла ряд улучшений для работы с данными и безопасности в целом. Сделанные изменения блокируют воспроизведение некоторых из этих уязвимостей, включая утечку IP-адресов на Android»,— уточнил представитель компании.
Microsoft Teams, по оценке TrueConf, в 2020 году занимал четвертое место по популярности среди российских корпоративных пользователей в качестве мессенджера (его использовали около 6% пользователей) после WhatsApp, Telegram и TrueСonf и пятое место по популярности в качестве средства видеосвязи (9% пользователей). Лидируют в этой категории Zoom, TrueСonf, Skype и Skype for business. По данным базы TAdviser за период с 2005 до ноября 2021 года, Microsoft занимает также четвертое место по популярности среди вендоров систем видео-конференц-связи, реализовав на российском рынке 140 проектов. В 2020 году, по оценке Telecom Daily, рынок видео-конференц-связи (ВКС) в России составил 2,5 млрд руб.
Максут Шадаев, глава Минцифры, в интервью TAdviser 10 сентября:
«Нам в любой момент могут заблокировать использование каких-то технологий, и все наше здание, вся конструкция, которую мы строим, может поплыть».
Из найденных проблем больше всего рисков несет уязвимость типа Spoofing — она позволяет прислать вредоносную ссылку, превью которой будет замаскировано под легитимный сайт, говорит старший исследователь угроз информационной безопасности «Лаборатории Касперского» Борис Ларин: «В результате недостаточно внимательные пользователи могут стать жертвами, например, фишинговой атаки».
В целом, если сравнивать Microsoft Teams и Zoom, то в базе данных общеизвестных уязвимостей CVE Details для последнего числится 34 проблемы, причем 14 из них выше 7-го уровня, то есть критичные, в то время как у Teams — всего 4 и все ниже 7-го уровня, уточнил директор по развитию «Информзащиты» Иван Мелехин. По его словам, причина в том, что Teams в первую очередь нацелен на корпоративный рынок, где требования по безопасности выше.
Директор по развитию TrueConf Дмитрий Одинцов уверен, что публичные сервисы всегда будут уязвимы: «Все произнесенное на любой онлайн-встрече в облачном сервисе может быть распознано и, скорее всего, будет распознано, значит, может стать объектом утечки в любой момент в дальнейшем — тут нет гарантии безопасности». Эту проблему можно решить установкой собственных автономных систем видео-конференц-связи, считает он, причем лучше развернуть их «в закрытом контуре».