Microsoft Teams war verwundbar und Angreifern war es möglich mit vergleichsweise wenig Aufwand, ganze Systeme zu kompromittieren. Der Grund dafür war eine Schadcode-Lücke. Davon sollen neben der Webversion auch die Clients für Linux, macOS und Windows betroffen sein.
Sicherheitsforscher Oskars Vegeris entdeckte mitte August diese Sicherheits-Lücke. Er stuft die Sicherheits-Lücken als “kritisch” ein. Microsoft sieht das ihm zufolge anders und vergibt die Bewertung “wichtig”. Eine CVE-Nummer zur Kennzeichnung der Lücke wird es wohl nicht geben, da Microsoft dies bei sich selbst aktualisierenden Anwendungen – wie es beim Teams-Client der Fall ist – ausschließt, zitiert Vegeris in seinem Beitrag.
In der Web-Version setzt der Sicherheitsforscher auf eine persistente XSS-Attacke. Bei der Client-Attacke kommt ein JavaScript-Exploit zum Einsatz, der dem Angreifer aufgrund eines Fehlers im displayName-Parameter platzieren könnten. Damit dies funktioniert, musste er in einer Chat-Nachricht lediglich einen Nutzer erwähnen und die Payload in die Nachricht einfügen.
Die Sicherheitslücke wurde mittlerweile in der aktuellsten Version geschlossen.