Schwachstelle macht Microsoft Teams betrugsanfällig


Eine kürzlich aufgedeckte Schwachstelle in Microsoft Teams ermöglicht es AngreiferInnen unter anderem, Firmen um Telefoniegebühren zu betrügen. AdministratorInnen können – und sollten – gezielte Schutzmaßnahmen ergreifen.


Mit der entsprechenden Lizenz und einem zertifizierten Enterprise Session Border Controller, also einer Sicherheits- und Steuerungskomponente für VoIP-Netzwerke, umfasst Microsoft Teams eine Integration ins öffentliche Telefonnetz. Als Enterprise Session Border Controller (E-SBC) wird häufig die Produktreihe Mediant des Herstellers AudioCodes genutzt. Mit ihr konnte IT-Security-Consultant Moritz Abrell von der Firma SySS kürzlich eine Schwachstelle in der Telefonieintegration Direct Routing von Microsoft Teams entdecken, welche auf unzureichende Authentifizierungsmethoden zurückzuführen ist.

Machen sich AngreiferInnen diese Schwachstelle zu nutzen, so können sie im Namen des betroffenen Unternehmens durch die Anwahl von Mehrwertrufnummern oder Auslandstelefonaten hohe Gebühren verursachen. Durch die Vortäuschung anderer Quellrufnummern könnte die Schwachstelle jedoch auch Phishing-Attacken begünstigen.


Technischer Hintergrund

Soll mit einer externen Rufnummer telefoniert werden, sendet die Software den Anruf über einen zuvor konfigurierten SIP-Trunk an den E-SBC. Dieser prüft den eingehenden Anruf durch eine sogenannte Klassifizierung und leitet ihn gemäß der konfigurierten Anrufrouting-Regeln weiter. Dabei sollte eigentlich sichergestellt sein, dass ausschließlich Anrufe vertrauenswürdiger Quellen angenommen und weitergeleitet werden. Laut Abrell empfahl der Hersteller hier als Prüfregel zunächst jedoch nur, dass der Ziel-FQDN im SIP-Request dem des SBCs entsprechen und dass im SIP Contact Header „pstnhub.microsoft.com“ stehen sollte. Durch Prüfungen des Common-Name- oder Subject-Alternative-Name-Attributs des Zertifikats des SBCs über Tools wie OpenSSL können AngreiferInnen diese Informationen jedoch leicht erlangen. Moritz Abrell gelang es mit einem selbstsignierten Zertifikat und dem korrekten Setzen von Header-Daten, sich als valider SIP-Request von MS Teams auszugeben. Daraufhin konnte der IT-Security-Consultant externe Telefongespräche führen.

Der Hersteller ergänzte im Responsible-Disclosure-Verfahren seine Sicherheitsempfehlungen um einen IP-Filter für die Quell-IP-Adressen von MS Teams zum Klassifizieren von Anrufen, bevor eine Weiterleitung an den jeweiligen Telefonie-Provider erfolgt. Die Empfehlung enthielt jedoch den großen IPv4-Adressblock 52.0.0.0/8 von AWS, welcher neben Teams auch viele weitere Software enthält.

Außerdem gab es die Empfehlung einer bidirektionalen TLS-Authentifizierung der SIP-Nachrichten. Dabei muss der SBC jedoch zwei Stammzertifizierungsstellen vertrauen: DigiCert Global Root G2 und Baltimore CyberTrust Root. Ein Zertifikat für einen beliebigen FQDN von diesen Zertifizierungsstellen vorzuweisen, reicht bereits aus. Die Schwachstelle könnte also noch immer ausgenutzt werden, sofern die AngreiferInnen ein Zertifikat für Domains unter eigener Kontrolle von einer der genannten Root CAs vorweisen können. Besser wäre hier ein Filter auf Zertifikate mit FQDNs von MS Teams im CN oder SAN Attribut – das wäre allerdings nicht mit allen Produkten umsetzbar. Eine andere Möglichkeit wäre eine dedizierte CA.

Weitere Absicherung sollen laut Herstellerempfehlung Filter auf bestimmte Quellnummern bringen. Quellnummern lassen sich jedoch häufig aus Websites oder öffentlichen Telefonverzeichnissen auslesen. Im Anschluss an das Responsible Disclosure ergänzte AudioCodes seine Sicherheitsempfehlungen noch um eine verschärfte eingehende Firewall-Regel für den E-SBC für SIP und die IPv4-Adressblöcke 52.112.0.0/14 und 52.120.0.0/14.


Handlungsempfehlungen für Teams-Admins

Durch folgende Gegenmaßnahmen können Sie Ihre eigene Infrastruktur vor der Schwachstelle schützen:

  • Eingehende restriktive IP-Filter auf die IP-Adressblöcke 52.112.0.0/14 & 52.120.0.0/14 für die SIP-Kommunikation mit Teams Direct Routing
  • Einsatz von Mutual TLS Authentication
  • Filter auf den Subject Alternative Name sip.pstnhub.microsoft.com im Zertifikat
  • Restriktive Rechtevergabe für Anrufe zu Mehrwert- und Auslandsrufnummern
  • Maximale Anrufdauer limitieren
  • Quellrufnummernvalidierung durchführen
  • Logs regelmäßig auf Anomalien auswerten

Quellen: Moritz Abrell & SySS Tech Blog