Microsoft Teams Bugs: Notrufe blockiert, Phishing-Lücke seit März 2021

Teams[English]Noch ein Sammelbeitrag zum Microsoft Teams, welches ja breit eingesetzt wird, aber eine etwas eigenwillige Implementierung besitzt und vor allem von Bugs wimmelt und diesbezüglich immer mal wieder negativ auffällt. Heute im Angebot: Seit März 2021 sind Microsoft vier Schwachstellen in Teams bekannt, die ein Phishing über die Link-Vorschau ermöglichen. Und unter Android kann es vorkommen, dass Microsoft Teams Notrufe blockiert. Hier ein schneller Überblick.


Anzeige

Phishing-Schwachstellen in Microsoft Teams

Fabian Bräunlein, Gründer der deutschen Sicherheitsfirma Positive Security, ist bereits im Frühjahr 2021 in Microsoft Teams auf vier Schwachstellen gestoßen, die er, laut diesem Blog-Beitrag, am 10. März 2021 an das Microsoft Security Response Center (MSRC) gemeldet hat.

MS Teams Bugs

 

Das Ganze ist aufgefallen, nachdem Bräunlein in Windows 10 über einen Code Execution-Schwachstelle in Windows 10 via IE11/Edge Legacy and MS Teams gestolpert ist. Bräunlein begann nach einer Möglichkeit zu suchen, die Same-Origin Policy von Teams/Electron zu umgehen. Die Idee war, von JavaScript zur Ausführung von beliebigem Code zu gelangen, indem Befehle an einen lokal gestarteten Node.js-Debug-Websocket-Server gesendet werden. Am Ende des Tages war Fabian Bräunlein mit seinem Team auf die vier nachfolgend genannten Schwachstellen gestoßen.


Anzeige

Die Bugs sind im verlinkten Blog-Beitrag des Sicherheitsforschers im Detail erläutert. Der URL-Vorschau-Spoofing-Bug (Nummer 2 in obiger Liste) kann von Angreifern für Phishing-Angriffe oder zur Tarnung bösartiger Links genutzt werden. Microsofts MSRC-Team sieht aber kein Problem in diesem Bug und antwortete:

MSRC hat dieses Problem untersucht und ist zu dem Schluss gekommen, dass dies keine unmittelbare Bedrohung darstellt, die dringende Aufmerksamkeit erfordert, da der Benutzer, sobald er auf die URL klickt, zu dieser bösartigen URL gehen müsste, was ein Hinweis darauf wäre, dass es nicht diejenige ist, die der Benutzer erwartet hat.

Am 25. März 2021 wurde das betreffende Ticket geschlossen, Microsoft wird diesen Bug nicht in der aktuellen Version schließen, hieß es. Inzwischen haben wir Ende 2021 und der Bug ist weiterhin ungepatcht. Daher hat Fabian Bräunlein, der wegen der Bug-Bounty-Prämie für die oben erwähnte Windows 10-Schwachstelle nicht wirklich zufrieden ist (die Verarsche durch Microsoft ist hier angerissen), hat zum 22. Dezember 2021 dann den Blog-Beitrag veröffentlicht – ich bin über diesen Artikel auf das Thema gestoßen.

Teams blockierte Notrufe in Android

Mitte Dezember 2021 wurde durch verschiedene Berichte bekannt (hatte ich nicht im Blog, da ich das auf Notrufe in den USA verortet habe), dass Nutzer, die Microsoft Teams unter Android installiert hatten, unter Umständen keine Notrufe an die 911 absetzen konnten. Ich verlinke mal auf diesen Beitrag des PC Magzins (Englisch). Dort werden die Randbedingungen und Implikationen erklärt. Microsoft hat inzwischen die Version 1416/1.0.0.2021194504 der Teams-Android-App veröffentlicht, die keine Deinstallation und anschließende Neuinstallation der App erfordert, um das Problem zu beheben. Ein deutschsprachiger Beitrag ist gerade bei heise zum Thema erschienen.

Ähnliche Artikel:
Microsoft Teams: XPC-Schwachstelle, wird nicht (zeitnah) gepatcht
Fix für Microsoft Teams Performance-Probleme
Microsoft Teams mit ‚Ops'-Anzeige gestört? (22.10.2020)
Teams Speicherort für Compliance-Aufzeichnungen geändert, brickt Scripte
Malware kann Microsoft Teams Updater missbrauchen
MS Teams: Bug verhindert Whiteboard-Nutzung in Europa
Verursacht Windows 10 VPN-Bug-Fix Update Teams-Probleme?
MS Teams wegen Zertifikatsfehler down (3.2.2020)
Zoom & Teams nicht DSGVO-konform einsetzbar
MS-Teams: Bei Windows Server auf virtuellen Speicher achten
Microsoft Teams: Schwachstelle erlaubte Kontenübernahme
Microsoft Teams und die Sicherheit …
Office 365 war über Teams-Netzwerkschwachstelle angreifbar
Microsoft Teams: Sicherheitsforscher finden eine von einem von Wurm ausnutzbare Zero-Klick RCE-Schwachstelle
Bug löscht Dateien in SharePoint und Teams
SocGholish: Angriff auf Browser, Flash und Microsoft Teams
Microsoft Teams: Bug verlangt von Nutzern eine Zertifikatsauswahl
Windows 10 V1909: Microsoft fixt blockierte Teams/Outlook/OneDrive-Anmeldung
Fix für sporadischen Anmeldefehler 0xC0070057 in Office-Apps und Teams
Windows 11: Microsoft macht Startmenü/Taskleiste mit Teams-Promo kaputt
Nextcloud legt Wettbewerbsbeschwerde gegen Microsoft wegen OneDrive und Teams in Windows 11 ein
Duldung der MS Teams-Nutzung in hessischen Schulen in 2021 verlängert
Uni Innsbruck setzt auf Matrix/Element statt auf MS Teams


Anzeige

Dieser Beitrag wurde unter Internet, Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Microsoft Teams Bugs: Notrufe blockiert, Phishing-Lücke seit März 2021

  1. Wil Ballerstedt sagt:

    Da ich auch zu Testzwecken weder 110 oder 112 wähle frage ich mal, ob nur die Amerikaner dieses Problem haben/hatten oder auch wir.

    • Dat Bundesferkel sagt:

      Dazu schweigt sich Google gepflegt aus. Auf Reddit hat man nur bestätigt, daß die Kombi MS-Teams, Android 11, nicht eingeloggter Benutzer und Google Pixel 3 Anrufe zu 911 verhindert haben.
      Schon vor zwei Wochen wurde in den Kommentaren gefragt, wie es mit anderen Nummern aussähe. Keine Antwort.

      Microsoft Teams hat wohl eine Aktualisierung erfahren, die das Problem "umschifft" – es soll wohl unter der Haube unzulässig mit Android 11 interagieren.

      In 'nem anderen Thread habe ich gesehen, daß ein Pixel 3 hingegen ständig 911 wählt. Ursache: Defekter Power-Knopf (Serienfehler bei dem Gerät) und eine aktivierte SOS-Funktion.

      Schöne neue Welt, alles nur noch Frickelware.

  2. Michael Uray sagt:

    Ein Bug in Teams welcher mich unglaublich nervt ist, dass man oft keine Bilder vergrößern kann.
    Meist tritt dies auf, wenn man einige Male dasselbe Bild vergrößert.

    Teams scheint generell öfter Probleme mit der Verarbeitung von Bildern zu haben.
    https://answers.microsoft.com/en-us/msteams/forum/all/pictures-are-not-enlarging-in-ms-teams/30a25ae5-9d6b-42ce-920c-f8a612c65ee7

    Was mich auch wundert ist, dass es Microsoft bis heute noch nicht geschafft hat eine weiterleiten Funktion in den Windows Client zu implementieren, was eigentlich eine Grundfunktion jedes Messengers ist.
    Dies haben viele User schon vor mehreren Jahren via Uservoice gefordert und MS meinte damals, dass sie es evaluieren müssen. Inzwischen gibt es diesen Uservoice Beitrag nicht mehr und ein Weiterleiten von Nachrichten ist nach wie vor noch nicht möglich.

    Man fragt sich manchmal schon was in deren Entwicklungsabteilungen vorgeht. Wird die Software nie in reellen Umgebungen von echten Nutzern getestet?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.