Gebührenbetrug und Phishing durch Schwachstelle in Microsoft Teams

Share:

Durch eine Schwachstelle in MS Teams können Angreifer Firmen unter anderem um Telefoniegebühren betrügen. Administratoren können sich jedoch gezielt schützen.

Eine Schwachstelle in der Telefonieintegration Direct Routing von Microsoft Teams hat der deutsche IT-Security-Consultant Moritz Abrell von der Firma SySS gefunden: Aufgrund unzureichender Authentifizierungsmethoden von Seiten Microsoft ist die Software anfällig für Gebührenbetrug. Die Schwachstelle wurde auf der diesjährigen DEF CON präsentiert.

MS Teams umfasst mit der passenden Lizenz und einem zertifizierten Enterprise Session Border Controller, also einer Sicherheits- und Steuerungskomponente für VoIP-Netzwerke, eine Integration ins öffentliche Telefonnetz. Häufig genutzte Enterprise Session Border Controller (E-SBC) sind die Produktreihe Mediant des Herstellers Audiocodes. Mit ihr konnte Abrell die Schwachstelle aufdecken.

Geprüft, aber leicht manipulierbar

Möchte ein Teams-Nutzer des Unternehmens mit einer externen Rufnummer telefonieren, sendet die Software über einen zuvor konfigurierten SIP-Trunk, also eine logische Verbindung für multiple Anrufe zwischen SIP-Endpunkten, den Anruf an den E-SBC. Er prüft den eingehenden Anruf durch eine sogenannte Klassifizierung und leitet ihn gemäß der konfigurierten Anrufrouting-Regeln weiter. Jedoch sollte sichergestellt sein, dass der Anruf ausschließlich aus einer vertrauenswürdigen Quelle angenommen und weitergeleitet wird. Als Prüfregel empfahl der Hersteller laut Abrell zunächst nur, dass der Ziel-FQDN im SIP-Request dem des SBCs entspricht und dass im SIP Contact Header pstnhub.microsoft.com steht. Diese Daten sind jedoch leicht manipulierbar: Prüfungen des Common-Name- oder Subject-Alternative-Name-Attributs des Zertifikats des SBCs über Tools wie OpenSSL stellen diese Informationen einfach zur Verfügung.

Mit einem selbstsignierten Zertifikat und dem korrekten Setzen von Header-Daten gelang es Abrell, sich als valider SIP-Request von MS Teams auszugeben und in Folge externe Telefongespräche zu führen. Bei der Anwahl von Mehrwertrufnummern, die gegebenenfalls vom Angreifer kontrolliert werden, oder Auslandstelefonaten könnte dies zu einem Gebührenbetrug führen. Aber auch Phishing-Attacken über die Vortäuschung anderer Quellrufnummern könnten die Folge sein.Grußwort zur Maker Faire Hannover 2022 des Regionspräsidenten Steffen Krach

Im Responsible-Disclosure-Verfahren ergänzte der Hersteller gemäß Erläuterungen von SySS seine Sicherheitsempfehlungen um einen IP-Filter für die Quell-IP-Adressen von MS Teams zum Klassifizieren von Anrufen, bevor eine Weiterleitung an den Telefonie-Provider erfolgt. Jedoch enthielt die Empfehlung den großen IPv4-Adressblock 52.0.0.0/8 von AWS, der auch viele weitere Software neben Teams enthält. Zusätzlich gab es die Empfehlung einer bidirektionalen TLS-Authentifizierung der SIP-Nachrichten, was grundsätzlich eine gute Idee ist.

Jedoch muss der SBC dazu zwei Stammzertifizierungsstellen vertrauen: DigiCert Global Root G2 und Baltimore CyberTrust Root. Es reicht, ein Zertifikat für einen beliebigen FQDN von diesen Zertifizierungsstellen vorzuweisen. Somit wäre die Attacke immer noch möglich, wenn man lediglich ein Zertifikat für Domains unter eigener Kontrolle von einer der genannten Root CAs vorweisen kann. Ein Filter auf Zertifikate mit FQDNs von MS Teams im CN oder SAN Attribut wäre hier angebrachter, jedoch nicht mit allen Produkten umsetzbar. Eine dedizierte CA wäre eine zusätzliche Alternative.

Filter auf bestimmte Quellnummern sollen laut Herstellerempfehlung weitere Absicherung bringen. Jedoch lassen sich die Quellnummern auch häufig aus Webseiten oder öffentlichen Telefonverzeichnissen auslesen. AudioCodes fügte laut Abrell im Nachgang an das Responsible Disclosure noch eine verschärfte eingehende Firewall-Regel für den E-SBC für SIP und die IPv4-Adressblöcke 52.112.0.0/14 und 52.120.0.0/14 in seine Sicherheitsempfehlungen ein.

Gegenmaßnahmen durch Systemverwalter

Um die eigene Infrastruktur vor der Schwachstelle zu schützen, sollten Teams-Administratoren jetzt folgende Gegenmaßnahmen treffen:

  • Eingehende restriktive IP-Filter auf die IP-Adressblöcke 52.112.0.0/14 & 52.120.0.0/14 für die SIP-Kommunikation mit Teams Direct Routing
  • Einsatz von Mutual TLS Authentication und falls möglich Filter auf den Subject Alternative Name sip.pstnhub.microsoft.com im Zertifikat
  • Limitieren der maximalen Anrufdauer (mit Unternehmensbedürfnissen abgleichen)
  • Restriktive Rechtevergabe für Anrufe zu Mehrwert- und Auslandsrufnummern
  • Quellrufnummernvalidierung durchführen
  • Regelmäßiges Auswerten von Logs auf Anomalien

Weitere technische Details zur Schwachstelle finden sich im Vortrag Abrells auf der DEF CON sowie im Blogeintrag von SySS.

https://www.heise.de/news/Gebuehrenbetrug-und-Phishing-durch-Schwachstelle-in-Microsoft-Teams-7254489.html

Leave a Comment

Your email address will not be published. Required fields are marked *

loader-image
London, GB
1:01 pm, Jul 11, 2025
weather icon 29°C
L: 28° | H: 31°
few clouds
Humidity: 42 %
Pressure: 1020 mb
Wind: 7 mph E
Wind Gust: 0 mph
UV Index: 0
Precipitation: 0 mm
Clouds: 13%
Rain Chance: 0%
Visibility: 10 km
Sunrise: 4:56 am
Sunset: 9:15 pm
DailyHourly
Daily ForecastHourly Forecast
Today 10:00 pm
weather icon
28° | 31°°C 0 mm 0% 8 mph 47 % 1019 mb 0 mm/h
Tomorrow 10:00 pm
weather icon
18° | 30°°C 0 mm 0% 9 mph 65 % 1018 mb 0 mm/h
Sun Jul 13 10:00 pm
weather icon
17° | 27°°C 0 mm 0% 7 mph 73 % 1014 mb 0 mm/h
Mon Jul 14 10:00 pm
weather icon
20° | 29°°C 0 mm 0% 14 mph 71 % 1017 mb 0 mm/h
Tue Jul 15 10:00 pm
weather icon
15° | 27°°C 0 mm 0% 13 mph 71 % 1021 mb 0 mm/h
Today 4:00 pm
weather icon
30° | 31°°C 0 mm 0% 5 mph 37 % 1019 mb 0 mm/h
Today 7:00 pm
weather icon
28° | 28°°C 0 mm 0% 5 mph 32 % 1018 mb 0 mm/h
Today 10:00 pm
weather icon
22° | 22°°C 0 mm 0% 8 mph 47 % 1019 mb 0 mm/h
Tomorrow 1:00 am
weather icon
18° | 18°°C 0 mm 0% 4 mph 55 % 1018 mb 0 mm/h
Tomorrow 4:00 am
weather icon
19° | 19°°C 0 mm 0% 4 mph 65 % 1018 mb 0 mm/h
Tomorrow 7:00 am
weather icon
19° | 19°°C 0 mm 0% 6 mph 64 % 1018 mb 0 mm/h
Tomorrow 10:00 am
weather icon
24° | 24°°C 0 mm 0% 6 mph 45 % 1017 mb 0 mm/h
Tomorrow 1:00 pm
weather icon
28° | 28°°C 0 mm 0% 7 mph 30 % 1015 mb 0 mm/h
Name Price24H (%)
Bitcoin(BTC)
€100,646.81
6.04%
Ethereum(ETH)
€2,547.20
7.32%
Tether(USDT)
€0.85
0.00%
XRP(XRP)
€2.24
6.59%
Solana(SOL)
€140.12
3.96%
USDC(USDC)
€0.85
0.00%
Dogecoin(DOGE)
€0.169950
10.01%
Shiba Inu(SHIB)
€0.000011
7.49%
Pepe(PEPE)
€0.000011
14.36%
Peanut the Squirrel(PNUT)
€0.248273
19.26%
Scroll to Top