2504133

Teams: Microsoft schließt gefährliche GIF-Lücke

28.04.2020 | 16:27 Uhr | Michael Söldner

Das Anschauen eines Bildes hätte schon ausgereicht, um den Teams-Account eines Opfers zu übernehmen.

Durch eine Sicherheitslücke in Microsofts Besprechungssoftware Teams war es zeitweise möglich, das Konto eines Opfers durch das simple Anschauen eines GIF-Bildes zu übernehmen. Entdeckt wurde die Schwachstelle durch die Sicherheitsfirma CyberArk bereits vor einem Monat. Durch eine zeitnahe Information des Herstellers konnte die Lücke geschlossen werden. Dies schien besonders wichtig, da die Nutzung von Microsoft Teams durch die Coronakrise deutlich zugenommen hat. Entsprechend waren mehr Menschen durch die Schwachstelle gefährdet. 

Nach Angaben von CyberArk konnten Angreifer durch die Lücke Subdomains übernehmen, um dort Bilder zu platzieren. Für eine erfolgreiche Attacke war lediglich erforderlich, dass das Opfer sich ein manipuliertes Bild anschaut. Die Sicherheitsforscher zeigten damit, dass die attackierten Nutzer vom Angriff gar nichts mitbekommen würden. Die Übernahme ihres Accounts würde komplett unsichtbar stattfinden. Ob die Schwachstelle bereits im großen Stil ausgenutzt wurde, bleibt unklar. Beweise hierfür gebe es laut CyberArk nicht. Da auch andere Dienste ähnlich arbeiten, könnten ähnliche Schwachstellen auch dort zu finden sein. Vor wenigen Tagen räumte Microsoft die Sicherheitslücke in Teams per Update aus. Nutzer sollten unbedingt auf die aktuellste Version von Teams setzen, um einen Angriff zu unterbinden.

lötzlich Home Office: So klappt die Videokonferenz

PC-WELT Marktplatz

2504133