10.12.2020 12:15

Kritische Lücke in Microsoft Teams und Autoupdates

Schon im Oktober hat Microsoft eine kritische Schwachstelle im Teams-Client behoben, die nicht nur Remote Code Execution ermöglicht, wurmfähig ist, sondern auch keinerlei Interaktion durch das Opfer benötigt; das Verschicken der Nachricht ist ausreichend und diese sieht bei Empfang nicht einmal verdächtig aus.1 Dennoch hat Microsoft die Lücke mit einem sehr niedrigen Ranking2 versehen und noch nicht einmal eine CVE-Nummer dafür vergeben. Grund dafür war laut dem Finder, dass Microsoft nach eigenen Angaben keine CVE-Nummern für Software vergibt, die sich automatisch aktualisiert.

Autoupdates sind bei Microsoft Teams standardmäßig aktiviert, es ist aber gerade im vorliegenden Fall dennoch sinnvoll, zu überprüfen, ob der eigene Teams-Client auf dem aktuellsten Stand ist. Generell empfiehlt CERT.at auch bei Software, die sich selbst aktualisiert, regelmäßig zu kontrollieren, ob das auch funktioniert. Aktuell haben wir noch von keinen Angriffen gehört, die diese Lücke ausnutzen.


  1. Die vollständige Beschreibung der Lücke durch den Researcher findet sich unter https://github.com/oskarsve/ms-teams-rce.

  2. "Important, Spoofing", zur Einordnung siehe https://www.microsoft.com/en-us/msrc/bounty-microsoft-cloud.