Microsoft korrigerar Teams sårbarhet som möjliggör kontoövertagande bara genom att visa en GIF

0 Shares

Microsoft Teams på mobil

En säkerhetsfel i Microsoft Team gjorde det möjligt för angripare att ta över konton bara genom att få ett offer att visa en GIF. Sårbarheten härrör från hur Teams hanterar bilder och kan möjliggöra kontoövertagande och datastöld.

Säkerhetsföretaget CyberArk upptäckte problemet för mer än en månad sedan och arbetade sedan med Microsofts säkerhetsforskningscenter under Coordinated Vulnerability Disclosure för att få sårbarheten fixad. Med COVID-19 som leder till en enorm ökning av antalet personer som arbetar på distans och förlitar sig på sådana som Zoom och Team, är utsikterna till en sådan lättanvändbar sårbarhet beträffande.

Se även:

CyberArk visade hur det var möjligt att använda en komprometterad underdomän för att vara värd för bilder och stjäla säkerhetstoken när en användare ser en bild. Det som är särskilt oroande för attacken är att den är helt osynlig och att titta på en bild är allt som krävs för att en attack ska kunna genomföras.

Säkerhetsföretaget förklarar hur attacken fungerar:

Vi fann att de två följande underdomänerna var sårbara för en övertagande av underdomän:

    aadsync-test.teams.microsoft.com data-dev.teams.microsoft.com

Om en angripare på något sätt kan tvinga en användare att besöka de underdomäner som har tagits över kommer offrets webbläsare att skicka denna cookie till angriparens server och angriparen (efter att ha mottagit autentoken) kan skapa en skype-token. Efter att ha gjort allt detta kan angriparen stjäla offrets Teams-kontodata.

När det gäller att utnyttja denna sårbarhet finns det några steg som angriparen behöver gå igenom.

Först måste angriparen utfärda ett certifikat för de komprometterade underdomänerna. Anledningen till detta är att cookien “authtoken” flaggas som säker, vilket innebär att webbläsaren bara skickar denna cookie via en säker kanal – HTTPS.

Men det borde inte vara ett problem, eftersom certifikatutfärdarna kommer att utfärda ett giltigt certifikat om du kan bevisa att du är ägare till den här domänen eller i vårt fall underdomänen.

Ett av sätten att bevisa att du är den rättmätiga ägaren är att ladda upp en fil till en viss sökväg och eftersom den komprometterade underdomänen pekar på angriparens server kan de klara den här utmaningen mycket enkelt.

Säkerhetsforskarna varnar för att “offret aldrig kommer att veta att de har attackerats, vilket gör utnyttjandet av denna sårbarhet smygande och farligt”.

Det finns inga bevis som tyder på att sårbarheten utnyttjades, men liknande problem kan finnas på andra plattformar.

En detaljerad beskrivning av sårbarheten finns på CyberArk-webbplatsen. Microsoft lappade upp problemet för några dagar sedan, så det är en bra tid att se till att du har uppdaterat till den senaste versionen av Teams.

Bildkredit: Daria Nipot / Shutterstock

0 Shares