Microsoft Teams und die Sicherheit …

[English]Kleiner Ausblick auf Microsoft Teams, was ja wie 'Sauerbier' angeboten wird. Teams ist ein Erfolgsprodukt aus dem Hause Microsoft, welches Slack locker in der Nutzerzahl überholt hat. Wirklich? Und wie steht es mit der Sicherheit dieses Produkts. Hier einfach mal einige lose Enden zusammen geknotet.


Anzeige

Microsoft Teams ist eine Software bzw. Plattform, die Chat, Besprechungen, Notizen und Anhänge kombiniert. Der zugrunde liegende Dienst ist in Office 365 integriert und Teams soll sogar Skype for Business ersetzen (siehe Microsoft ersetzt Skype for Business durch Teams). Ich selbst thematisiert Teams hier im Blog wenig, da ich einerseits diese Software nicht einsetze. Und andererseits ist da der Reflex 'nicht mal mit der Kneifzange anzupacken' – denn die gesamten Teams Begleitumstände 'riechen' für mich etwas. Lange konnte ich es nicht richtig greifen – aber die letzten Tage und Wochen sind mal wieder einige Puzzleteile ins Bild gefallen.

Viele neue Ankündigungen für Teams

Kürzlich gab es mal wieder ein Feuerwerk an Ankündigungen, was Teams demnächst alles können soll. Bei heise gab es beispielsweise diesen Beitrag, der die Teams-Anbindung an Microsoft Project thematisiert. Und im Januar 2020 gab es einen Beitrag, der geplante neue Funktionen wie 'Walki-Talkie' beschreibt. Auch bei Dr. Windows ist mir vom Dezember 2019 ein Artikel in Erinnerung, der die Pläne für das Zusammenspiel von Teams mit Outlook thematisiert. Nun ja, das ist kein Problem, und gönnen wir Microsoft den Erfolg mit Teams. Soll ja ein erfolgreiches Produkt sein und bestimmt ist es grundsolide, kommt ja von Microsoft … hatte ich auch irgendwie mal im Hinterkopf.

Bombastische Zahlen: Teams überholt Slack

Im Juli 2019 gab es von Microsoft die Erfolgsmeldung, dass Teams seinen Konkurrenten Slack in den Nutzerzahlen überholt habe. Ich selbst bin darauf hereingefallen und hatte den Artikel Teams: Erfolgreich, aber ein Sicherheits-GAU (der allerdings einen anderen Kontext beleuchtete und nur am Rande den 'Erfolg' thematisierte) im Blog. Zitat aus dem damaligen Artikel:

Und Teams hat inzwischen 13 Millionen Nutzer täglich, mehr als der Konkurrent Slack. Heise hat sich beispielsweise in diesem Artikel am Thema abgearbeitet. Schöne neue Welt …

Die Tage ist mir bei einem Gespräch mit einem Blog-Leser mal wieder die Kinnlade heruntergefallen, weil mir klar wurde, wie wir erneut auf Microsofts Marketing-Masche hereingefallen sind. Der Nutzer hat mich nämlich daran erinnert, dass Microsoft sein Teams mit allen Office 365-Paketen und Updates ausrollt.

Und der Blog-Leser hatte mich im Spätsommer darauf hingewiesen, dass Teams zwangsweise auf Millionen Rechner gedrückt wird, egal, ob die Leute das wollen oder nicht. Konkret ging es um den Sachverhalt, dass Administratoren per Office Deployment Tool (ODT) eigentlich festlegen können, was von Office 365 installiert werden soll. Aber plötzlich stellte der Blog-Leser fest, dass bei Office 365 ProPlus immer Microsoft Teams mit ausgerollt wird, egal was ein Administrator im ODT festlegt (siehe den Blog-Beitrag Office 365 ProPlus: ODT rollt immer Teams mit aus).

Und da Teams nach der Installation automatisch startet, auch wenn die Benutzer es nicht verwendet, meldet die Telemetrie halt 13 Millionen Teams-Nutzer – wenn ich die Sachlage richtig interpretiere. Ein Schelm, wer böses dabei denkt. Es gibt übrigens einen Artikel Office 365 Pro Plus: Teams-Autostart blockieren, der verrät, wie man den Autostart weg bekommt.

Sicherheit, die interessiert doch niemanden, oder?

Es gibt aber noch einen weiteren Aspekt, warum ich einen Bogen um dieses Produkt mache. Mir fällt Teams nämlich auf Schritt und Tritt als Sicherheits-GAU vor die Füße. Offenbar interessiert es aber niemanden. Man hat zwar gerade die Tage einen riesigen Ballon wegen des aus dem Support gefallenen Windows 7 aufgeblasen. Selbst das BSI war sich nicht zu schade, sich für den nachfolgenden Tweet zu erblöden.

BSI-Tweet zum Windows 7-Supportende


Anzeige

Auf Teams & Co. schaut aber wohl niemand. Bereits im Artikel Teams: Erfolgreich, aber ein Sicherheits-GAU hatte ich auf zwei Probleme im Zusammenhang mit der Software hingewiesen. Deren Updater konnte zum Download von Malware genutzt werden. Und Stefan Kanthak hatte mich darauf hingewiesen, dass der Teams-Installer für DLL-Hijacking anfällig sei. Seit diesem Zeitpunkt war mit die Software höchst suspekt.

Electron-Framework und Uralt-Chromium

Es gibt aber noch einen weiteren Klopper, auf den ich vor einiger Zeit über folgenden Tweet aufmerksam wurde.

Kevin Beaumont ist Sicherheitsforscher und hat sich Microsoft Teams angeschaut und ist auf den Chromium-Browser gestoßen, der im Produkt verwendet wird. Der Hintergrund ist, dass das Produkt Teams (wie Yammer) auf dem Electron 3-Framework aufbaut. Es ermöglicht die Ausführung von Cross-Platform-Desktop-Anwendungen mithilfe des Webbrowsers Chromium und des Node.js-Frameworks.

Und da fangen die Kalamitäten an: Beaumont weist darauf hin, dass ein uralter Chrome User-Agent mit der Version 66 ausgeliefert wird, der bereits 18 Monate alt sei und Sicherheitslücken aufweist. Und das ist also die top moderne und gepflegte Software aus dem Hause Microsoft, die möglichst in alle Betriebe gedrückt werden soll?

Ratlosigkeit ist eine Untertreibung

An diesen Stellen lässt mich die Softwarewelt a la Microsoft ein Stück ratlos zurück. Wir patchen Windows wie die Weltmeister, kicken alles, was von denen aus dem Support fällt, um auf neue Betriebssysteme zu aktualisieren und lassen auch den Chrome-Browser wie die Dackel mit Sicherheitsupdates auf die jeweils aktuelle Version bringen. Und dann kommt Microsoft und drückt seinen Office 365-Kunden ein Teams mit Uralt-Chrome-Browser rein? Und das ist nur die Spitze des Eisbergs, wenn man sich so manche Laufzeitpakete von Microsoft anschaut.

Oder anders ausgedrückt: Ich glaube, ich werde alt, denn ich verstehe diese Microsoft-Welt nicht mehr. Auf der einen Seite bläst man riesige Luftballons in Sachen Sicherheit auf. Und dann lupfst Du an anderer Stelle ein wenig den Teppich hoch und stößt auf ein Sicherheitsproblem nach dem anderen. Oder was habe ich da mal wieder falsch sortiert?

Ähnliche Artikel:
Office 365 Pro Plus: Teams-Autostart blockieren
Office 365 ProPlus: ODT rollt immer Teams mit aus
Office 365 war über Teams-Netzwerkschwachstelle angreifbar
Teams: Erfolgreich, aber ein Sicherheits-GAU


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Microsoft Teams und die Sicherheit …

  1. Alitai sagt:

    Hier findet man mehr dazu:
    https://github.com/electron/electron/projects

    chrome projekte 66 67 sind fertig
    chrome projekte 72 73 74 sind noch offen

    Sonst hast du natürlich Recht.

    • Alitai sagt:

      War doch schon spät heute Morgen.

      Electron 7.1.9 basiert auf Chrome Version 78.
      Wieso die alten Projekte in Github noch offen sind, weiss ich nicht.

      MS kommt wohl mit updaten von Electron für ihre Software nicht hinterher.

  2. Carsten sagt:

    Es ist in der Tat ärgerlich, dass Teams inzwischen zwangsweise ausgerollt wird (nicht nur bei Office ProPlus, um das nochmal deutlich zu erwähnen; Skype for Business wird offenbar inzwischen ebenfalls automatisch ausgerollt und kann im Gegensatz zu Teams nicht deinstalliert werden) und automatisch startet.

    Allerdings ist man durch den Start von Teams nicht automatisch angemeldet. Vielmehr muss man sich mit einem Office-Konto anmelden, bevor man es verwenden kann.

    Insofern ist die Frage, ob die von Microsoft gemeldeten Nutzerzahlen der Anzahl der Teams-Installationen entspricht oder ob es sich tatsächlich um angemeldete Nutzer:innen handelt.

  3. 1ST1 sagt:

    Da angekündigt ist, dass auch bei uns in der Firma Teams kommen soll, was zwangsläufig sein wird, weil wir bereits Skype vor Business verwenden, habe ich mir und meiner Frau das kürzlich mal privat installiert, um schonmal zu gucken. Ok, man kann das starten, meldet sich an, dann habe ich eine "Firma" angelegt und meine Frau dazu eingeladen. Sie ist auch drin. Aber dann? Es gibt einen spartanischen Chat, es gibt ein Wiki, was immer gerade nicht verfügbar ist, wenn ich mal gucken will, einen Appstore habe ich darin gefunden, mit lauter Software, die Teams unterstützt, die aber zumindestens privat nutzlos ist. Aber dann? Wo ist die Office 365 (-Home) Integration? Ein Programm, was sich so wenig in seiner Funktionsweise und in seinem Nutzen erschließt, habe ich schon lange nicht mehr gesehen. Das soll es jetzt sein? Ich glaub, ich brauch ne Schulung…

    Was das DLL-Hijacking angeht, die Veröffentlichungen dazu sind ja auch schon wieder über 1 Jahr alt, wurde das seit dem nochmal untersucht? Bei Teams hat sich in der Zeit ja angeblich viel getan.

    Was die veraltete Chromium-Engine angeht, da Microsoft ja inzwischen Chromium-Edge veröffentlicht hat, wird diese Funktion sicher bald zusammengefasst, wenn es nicht schon durch das Update von "Chredge" automatisch geschieht, oder?

  4. RetoFelix sagt:

    Ich habe privat und bei der Arbeit alle Computer mit Software Restriction Policies (SRP) so abgesichert, dass es für den User Ordner mit Programme gibt in denen er nicht schreiben kann und Ordern für Daten in denen er nichts ausführen kann.
    Schon bei Defender musste ich Handstände machen, damit er sich updaten kann.
    Teams installiert sich für jeden Benutzer ins Profile und ist da dann nicht ausführbar.
    Für mich ein Glück, für die Benutzer die Team wollen habe ich noch keine Lösung ausser die Web Oberfläche.
    Es ist tragisch, wie Microsoft die eigenen Sicherheitskonzepte torpediert.

    • 1ST1 sagt:

      "Teams installiert sich für jeden Benutzer ins Profile" – sicher das? Pfad?

      C:\Users\%username%\AppData\Local\Microsoft\Teams\

      Ohweh… Das ist ja ein Gau…

      • JohnRipper sagt:

        Ja genau so grausig wie früher Onedrive. Das ging auch ins Profil.

        Bei onedrive kann man aber mittels Userswitch aber eine Computerinstallation erzwingen. Also in %programfiles%

  5. Ben sagt:

    Kurzer Exkurs noch zu Windows 7 (weil Du es selbst erwähnt hast):

    Es ist richtig, dass das BSI dazu was schreibt, auch wenn die Formulierung "ab heute offen wie Scheunentore" sicher übertrieben ist.
    Aber: Es gibt seit kurz nach dem Januar-Patchday einen 0-day-Exploit für den Internet Explorer, der in Windows 7 nicht gefixt wird! Speziell schwierig, wenn Oma Erna nur den vorinstallierten Internet Explorer kennt und nutzt!
    Allerspätestens mit dem für W7-User nicht mehr zur Verfügung gestellten Februar-Patchday gehört Windows 7 in die Tonne, sofern der Rechner am Netz hängt!
    Da gibt es keine zwei Meinungen zu.

    • Die/Das/Der Gender-Krankheit*erIn sagt:

      Da gibt es meine zweite Meinung dazu:
      Eine Internet-Security installieren, und dann ist das Scheunentor nur noch einen Spalt offen. Und dann muss noch einer genau dein Scheunentor sehen und in deine (!) Scheune wollen, die 1 von ca. 200'000'000 ist.

      Und dass der 0-Day-exploit nach dem letzten Update aufgetaucht ist und nicht mehr gefixt wird, ist ja wohl kein Zufall, sondern eine Idee der MS-Marketing-Abteilung. Und der Oma kannst Du ja eine anderen Browser aufschwatzen.

      Die Panik-Mache geht mir echt auf den Wecker.

      Wieviel zahlt dir Microsoft, dass du solche Panik-Artikel in Umlauf bringst?

      • Ben sagt:

        Genau, kippen wir einfach ein bisschen Snake-Oil dazu, und dann ist alles gut…

        Wünsche allen, die W7 weiterhin verwenden (und dabei das Internet nutzen), für die nächsten Jahre viel Glück…

        Microsoft zahlt mir übrigens nix dafür. Ich nutze Linux.

        • Die/Das/Der Gender-Krankheit*erIn sagt:

          Die ganze Welt verwendet das Schlangenöl, z.B. Banken, Versicherungen, Auto-Hersteller, Pharma-Industrie usw.
          https://de.wikipedia.org/wiki/Externe_Firewall
          https://de.wikipedia.org/wiki/Personal_Firewall

          Nur weil es alle verwenden, muss es noch nicht gut sein. Ein Beweis dafür sind die Religionen. Ich glaube aber lieber an den Nutzen einer Firewall, als an ein transzendentes Vieh.

          Gruss von einem Normalverbraucher und IT-Laien.

          • Ben sagt:

            Eine Firewall ist –> ein <– (sinnvoller) Baustein für die IT-Security, aber mehr auch nicht.

            Die Firewall wird Dir im Falle eines Ausnutzens von einer Sicherheitslücke aber nur bedingt helfen.
            Port 80/443 ist eh offen, und ein vorkonfiguriertes freigegebenes Programm wird sich auch finden (Internet Explorer?).

            Treffendes Foto dazu, wenn Du zwar eine Firewall, aber ungepatchte Sicherheitslücken hast:
            https://www.memecenter.com/fun/2979487/windows-firewall

            Separate Virenscanner (Ausnahme: Windows Defender) bringen meist diverse Probleme mit sich (SSL wird aufgebrochen, Erfassung und Übermittlung der Surf-Historie, problematisch tiefe Einbindung ins System etc.).

            Ich würde Deine Einschätzung zu W7 daher durchaus noch einmal überdenken, ob Du mit einer Internet Security-Suite (Virenscanner und Firewall) wirklich ausreichend geschützt bist…

          • 1ST1 sagt:

            Eine Client-Firewall hilft nur, wenn der Angreifer bereits im internen Netzwerk ist. Die Client-Fireall hilft nur, eine Ausbreitung eines Schädlings zu verlangsamen. Einen Befall verhindern muss man an anderer Stelle: Antivirus, Application-Whitelistening, Internet/Mailgateways mit Packet Inspection, Sandboxing, usw.

    • Die/Das/Der Gender-Krankheit*erIn sagt:

      Deskmodder meint, dass die Sicherheitslücke noch geschlossen werden wird:
      https://www.deskmodder.de/blog/2020/01/19/windows-7-internet-explorer-11-wird-nicht-laenger-unterstuetzt/

Schreibe einen Kommentar zu Die/Das/Der Gender-Krankheit*erIn Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.