ΑρχικήsecurityMicrosoft Teams: Η προβολή ενός GIF επιτρέπει το hijacking λογαριασμών

Microsoft Teams: Η προβολή ενός GIF επιτρέπει το hijacking λογαριασμών

Microsoft Teams

Η Microsoft διόρθωσε ζητήματα ασφαλείας στο Microsoft Teams που θα μπορούσαν να χρησιμοποιήσουν οι hackers για να πάρουν τον έλεγχο λογαριασμών χρηστών, με τη βοήθεια ενός αρχείου .GIF.

Τη Δευτέρα, ερευνητές ασφαλείας από τη CyberArk δήλωσαν ότι μια “subdomain takeover ευπάθεια”, σε συνδυασμό με ένα κακόβουλο αρχείο .GIF, θα μπορούσε να χρησιμοποιηθεί για “την απόσυρση δεδομένων ενός χρήστη και τελικά την ανάληψη ελέγχου όλων των Microsoft Teams λογαριασμών ενός οργανισμού“.

Οι ερευνητές είπαν ότι τα ζητήματα ασφαλείας επηρέαζαν το Microsoft Teams τόσο στο desktop όσο και στη web browser έκδοση.

Η πλατφόρμα επικοινωνίας της Microsoft χρησιμοποιείται από πολλούς ανθρώπους, ειδικά αυτή την περίοδο λόγω COVID-19. Το Microsoft Teams χρησιμοποιείται, επίσης, από πολλές επιχειρήσεις, επιτρέποντας την κοινή χρήση εταιρικών δεδομένων και, ως εκ τούτου, αποτελεί ελκυστικό στόχο για τους hackers.

Οι ερευνητές της CyberArk, μελέτησαν την πλατφόρμα και διαπίστωσαν ότι κάθε φορά που ανοίγει η εφαρμογή, ο Teams client δημιουργεί ένα νέο token προσωρινής πρόσβασης. Το πρόβλημα είχε να κάνει με τον τρόπο που η Microsoft χειριζόταν αυτά τα tokens, που στην ουσία αποδεικνύουν ότι ένας νόμιμος χρήστης αποκτά πρόσβαση στον Teams λογαριασμό.

Η Microsoft διαχειρίζεται αυτά τα tokens στο server της, στη διεύθυνση teams.microsoft.com ή σε οποιοδήποτε subdomain κάτω από αυτήν τη διεύθυνση. Η CyberArk διαπίστωσε ότι δύο από αυτά τα subdomains, aadsync-test.teams.microsoft.com και data-dev.teams.microsoft.com, ήταν ευάλωτα σε μια subdomain takeover ευπάθεια.

“Εάν ένας εισβολέας μπορεί με κάποιο τρόπο να αναγκάσει έναν χρήστη να επισκεφθεί τα παραβιασμένα subdomains, ο browser του θύματος θα στείλει τα tokens στον server του εισβολέα και εκείνος στη συνέχεια θα μπορεί να δημιουργήσει ένα άλλο token, το Skype token“, είπαν οι ερευνητές. “Μετά από όλα αυτά, ο εισβολέας μπορεί να κλέψει τα δεδομένα του Microsoft Teams λογαριασμού του θύματος”.

Ωστόσο, η επίθεση είναι περίπλοκη, καθώς ο εισβολέας πρέπει να εκδώσει ένα πιστοποιητικό για τα παραβιασμένα subdomains.

Καθώς τα subdomains ήταν ήδη ευάλωτα, αυτή η πρόκληση ξεπεράστηκε, και με την αποστολή είτε ενός κακόβουλου συνδέσμου στο subdomain είτε ενός αρχείου .GIF στο teams, θα μπορούσε να δημιουργηθεί το απαιτούμενο token για να αποκτήσει πρόσβαση ο εισβολέας. Η απλή προβολή του GIF είναι αρκετή, επομένως μπορούν να επηρεαστούν περισσότεροι χρήστες του Microsoft Teams, σε μια μόνο επίθεση.

Η CyberArk κυκλοφόρησε proof-of-concept (PoC) code που δείχνει πώς θα μπορούσαν να γίνουν οι επιθέσεις, παράλληλα με ένα script που θα μπορούσε να χρησιμοποιηθεί για να κλέψει τις συνομιλίες του Teams.

GIF

“Ο COVID-19 ανάγκασε πολλές εταιρείες να στραφούν στην απομακρυσμένη εργασία, οδηγώντας σε σημαντική αύξηση του αριθμού των χρηστών που χρησιμοποιούν το Teams ή άλλες πλατφόρμες σαν αυτήν”, λέει η CyberArk. “Ακόμα κι αν ένας εισβολέας δεν συγκεντρώσει πολλές πληροφορίες από έναν λογαριασμό Teams, θα μπορούσε να χρησιμοποιήσει τον λογαριασμό για να «διασχίσει» ολόκληρο τον οργανισμό”.

Οι ερευνητές συνεργάστηκαν με το Microsoft Security Response Center (MSRC) στο πλαίσιο του προγράμματος Coordinated Vulnerability Disclosure (CVD) για να αναφέρουν τα ευρήματά τους.

Η CyberArk ανέφερε την ευπάθεια στις 23 Μαρτίου. Την ίδια ημέρα, η Microsoft διόρθωσε τις εσφαλμένες ρυθμίσεις DNS των δύο subdomains που επέτρεπαν στους επιτιθέμενους να πάρουν τον έλεγχο των Teams λογαριασμών. Στις 20 Απριλίου, η εταιρεία κυκλοφόρησε, επίσης, ένα patch για να μετριάσει τον κίνδυνο παρόμοιων σφαλμάτων.

Ένας εκπρόσωπος της Microsoft είπε: “Αντιμετωπίσαμε το ζήτημα που συζητήθηκε σε αυτό το blog και συνεργαστήκαμε με τους ερευνητές στο πλαίσιο του Coordinated Vulnerability Disclosure. Ενώ δεν έχουμε δει καμία εκμετάλλευση αυτής της τεχνικής, έχουμε λάβει μέτρα για να διατηρήσουμε τους πελάτες μας ασφαλείς”.

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS