• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Detectadas múltiples vulnerabilidades en Microsoft Teams

Detectadas múltiples vulnerabilidades en Microsoft Teams

10 enero, 2022 Por Rubén García Deja un comentario

Se han descubierto una serie de vulnerabilidades en la plataforma de videoconferencias de Microsoft, Microsoft Teams, que permitirían a los atacantes la realización de spoofing de las previsualizaciones de los enlaces, la fuga de IPs e incluso acceder a servicios internos.

Se han descubierto un total de cuatro vulnerabilidades con la introducción de la nueva característica de previsualización de enlaces. Estas fueron reportadas a Microsoft en Marzo de 2021, y hasta la fecha solo ha sido solucionada una de ellas.

Las cuatro vulnerabilidades encontradas son del tipo server-side request forgery (SSRF) y un fallo de spoofing de previsualización de la URL, tanto en la web como en la aplicación de escritorio, y, en el caso de los usuarios de Android, se puede revelar su IP y realizar un ataque de denegación de servicio (DoS).

Las vulnerabilidades del tipo server-side request forgery permiten a un atacante que el lado del servidor de la aplicación realice peticiones HTTP a los dominios de su elección. En otros casos puede hasta forzarse la conexión arbitraria a sistemas externos, pudiendo filtrar datos sensibles como credenciales.

La vulnerabilidad de SSRF puede ser utilizada para escanear los puertos y servicios HTTP internos y enviar peticiones con una payload de Log4Shell a todos ellos, tratando de explotar los servicios que no están expuestos a Internet.

Hasta el momento Microsoft Teams solo ha parcheado la vulnerabilidad de la filtración de IPs de los dispositivos Android.

Más información:

  • https://positive.security/blog/ms-teams-1-feature-4-vulns

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking Windows

Relatos para hackear el tiempo

Hacking con Metasploit

Publicado en: General Etiquetado como: Microsoft

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco afectada por ransomware Yanluowang

Entradas recientes

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...