12月22日bleepingcomputer消息，自今年3月以來，就有報道稱 Microsoft Teams 鏈接預覽功能存在一些安全漏洞，但微軟卻表示不會修復或者推遲這些漏洞的修補計劃。

這些安全漏洞由德國 IT 安全咨詢公司 Positive Security 聯合創始人 Fabian Br?unlein 發現，分別是服務器端請求偽造 (SSRF)漏洞、URL 預覽欺騙漏洞、IP 地址泄漏 (Android) 漏洞和被稱為死亡消息 (Android) 的拒絕服務 (DoS) 漏洞。

Br?unlein 向 Microsoft 安全響應中心 (MSRC) 報告了四個漏洞，該中心負責調查有關 Microsoft 產品及服務的漏洞報告。

“這些漏洞允許訪問微軟內部服務，欺騙鏈接預覽，并且，對于Android用戶來說，泄露他們的IP地址和破壞他們的Teams應用程序/渠道，”研究人員說。

在這四個漏洞中，微軟只解決了IP 地址泄漏 (Android) 漏洞，對于其他漏洞，微軟表示他們并未在當前版本中修復 SSRF，而 DoS 也是計劃在未來版本中考慮修復。

使用戶暴露于網絡釣魚的漏洞未被修補

至于URL預覽欺騙漏洞，雖然被標記為不會對 Teams 用戶構成任何危險，但威脅者可以利用該漏洞偽裝成惡意鏈接，進行釣魚攻擊。

微軟表示：“MSRC 調查了這個問題并得出結論，認為這不會構成直接威脅，不需要緊急關注。因為一旦用戶點擊 URL，他們將不得不轉到那個惡意 URL，這將是一個免費的樣品，用戶能看到不是其想打開的鏈接應該不會上當。”

研究人員補充說：“雖然所發現的漏洞影響有限，但令人驚訝的是，如此簡單的攻擊載體以前似乎沒有被測試過，而且微軟沒有意愿或資源來保護他們的用戶免受其害。”

自 7 月以來，Teams 還使用 Defender for Office 365 安全鏈接保護，來保護用戶免受基于 URL 的網絡釣魚攻擊，這在一定程度上解釋了該公司決定不解決可能在網絡釣魚活動中濫用的欺騙漏洞。

雖然安全鏈接保護對所有Teams用戶都可用，并且適用于跨對話、群組聊天和Teams渠道共享的鏈接，但它仍然需要通過在Microsoft 365 Defender門戶中設置安全鏈接策略來啟用。

參考來源：https://www.bleepingcomputer.com/news/security/microsoft-teams-bug-allowing-phishing-unpatched-since-march/