Vor einigen Tagen wurde eine potenzielle Schwachstelle bekannt, bei der die Default-Konfiguration der SBCs eines Marktbegleiters nicht genug abgesichert war und es im Zusammenhang mit Microsoft Teams Direct Routing potenziell zu Gebührenbetrug und Phishing hätte kommen können.
Blog Post Abusing Microsoft Direct Routing
anynode ist für diese Attacke nicht anfällig, weil der Assistent, der den MS Teams Direct Routing Node erzeugt, einen spezifischen Filter für IP-Bereiche anlegt, welche von Microsoft in der Dokumentation spezifiziert werden. Für eingehende MS Teams Direct Routing TLS Verbindungen aktiviert der anynode Wizard mutual TLS und anynode überprüft, ob die von der Gegenstelle übermittelten Zertifikate von einer der beiden CAs stammen, welche ebenfalls in der Dokumentation von Microsoft definiert sind.
Darüber hinaus kann der Kunde die Sicherheit weiter verstärken, indem anynode überprüft, dass die von der Gegenstelle übermittelten Zertifikate einen der folgenden SANs enthalten:
sip.pstnhub.microsoft.com
sip2.pstnhub.microsoft.com
sip3.pstnhub.microsoft.com
TE-SYSTEMS wird außerdem in der nächsten Woche eine neue anynode Version (4.6.26) bereitstellen, welche optional bestehende MS Teams Nodes mit dem gerade gezeigten SAN-Filter „nachrüstet“.