研究人员揭露Microsoft Teams桌机版App零点击RCE漏洞

一名研究人员本周揭露位于微软协同工具Teams Mac、Windows及Linux等桌机版存在一个不需使用者互动即可远端执行程式码，甚至可利用SSO机制存取公司系统的漏洞。

代号为Vegeris的安全研究人员指出，这个远端程式码执行漏洞出在Teams桌机版，可由teams.microsoft.com的跨网站指令码（Cross-Site Scripting，XSS）注入漏洞触发。攻击者可将恶意聊天讯息传给任何Microsoft Teams成员或频道，借此在接到讯息的用户电脑上执行任意程式码。攻击者不仅可在受害者PC上执行任意程式码，取得电脑完整存取权限，也可透过这些电脑存取公司内部网络。

即使用户电脑没有被执行任意程式码，只要攻击者取得Microsoft Teams及其他微软服务（如Skype、Outlook、Office 365）的单一签入（SSO）授权令符，还是可能在企业内部网络游走。此外，XSS漏洞本身就可以让攻击者存取Teams平台上的私密对话、及重要公司档案等。研究人员并以PoC示范XSS攻击程式码。

除了上述风险外，研究人员更指出，结合二项漏洞的攻击过程为可自我复制散布（wormable），完全不需使用者互动，

受XSS 漏洞影响产品为Microsoft Teams Web版teams.microsoft.com，以及RCE漏洞则影响2020年8月31日以前的MacOS、Windows及Linux桌机版App，包括Teams macOS 1.3.00.23764版、Teams Windows 1.3.00.21759版及Teams Linux 1.3.00.16851版。

研究人员于8月底通报微软两漏洞，但他对微软回应不以为然。首先，他认为RCE应属于重大漏洞，不过微软仅将之列为“（严重性）重要，（影响）欺骗”，为相当低风险的评等。此外，微软也未对这二个漏洞提供漏洞名称（CVE），理由是微软对不需使用者互动、而是自动更新修补的产品之漏洞，就不会发派CVE。

微软已经在10月底将两个漏洞修补完成。