Взлом учетных записей Microsoft Teams с помощью изображения GIF

    Эксперты обнаружили, как похитить учетные записи Microsoft Teams, просто отправляя получателям обычный GIF-файл, который работает как для настольных, так и для веб-версий команд.

     Microsoft устранила уязвимость в видео-чате и платформе совместной работы на рабочем месте Teams, которая могла позволить злоумышленникам получить учетные записи Team, отправив участникам вредоносную  ссылку на явно невинное изображение GIF.

   

       Уязвимость была обнаружена исследователями из  компании CyberArk, она влияет как на настольную, так и на веб-версии программного обеспечения.  Исследователи сообщили о проблеме в Microsoft 23 марта, а ИТ-гигант обратился к ней в обновлении, выпущенном 20 апреля.

       «Мы обнаружили, что, используя уязвимость захвата поддоменов  в командах Microsoft, злоумышленники могли использовать злонамеренный GIF для очистки данных пользователя и в конечном итоге захватить весь список учетных записей команд » -  говорится в  анализе, опубликованном компанией CyberArk.

     «Поскольку пользователям не нужно будет обмениваться GIF-файлами - просто посмотреть, - то такие уязвимости будут  распространяться автоматически».

Эта проблема является критической, поскольку решения для видеоконференций, таких как Zoom и Microsoft Teams, являются привилегированными каналами связи, выбранными предприятиями, студентами и даже государственными организациями во время пандемии COVID-19.

      Недостаток связывает способ, которым Microsoft Teams обрабатывает аутентификацию с ресурсами изображений.

После открытия приложения, он создает  токен доступа, JSON WebToken (JWT), который позволяет пользователю просматривать изображения, которыми он  делится в беседе.

    Чтобы позволить получателям получить изображение, предназначенное для них, приложение использует два токена аутентификации: «authtoken» и «skypetoken».

Токен «authtoken» используется для аутентификации пользователей при загрузке изображений в домены через команды и сеансах Skype, а также генерирует токен «skypetoken», который используется для аутентификации на сервере, который обрабатывает действия клиента, такие как чтение сообщений.

    Злоумышленник, владеющий обоими токенами, может совершать звонки через API команд и может попытаться захватить учетную запись. Он может читать / отправлять сообщения, добавлять или удалять пользователей, изменять разрешения и создавать группы,

      Эксперты отметили, что «authtoken» может использоваться только с поддоменом в «teams.microsoft.com», но они  обнаружили два поддомена (aadsync-test.teams.microsoft.com и data-dev.teams.microsoft.com), которые были уязвимы для захвата поддоменов.

«Если злоумышленник может каким-либо образом заставить пользователя посетить поддомен, который был захвачен, браузер жертвы отправит этот куки-файл на сервер злоумышленника, и злоумышленник (после получения аутентификационного токена) может создать токен Skype. 

     После всего этого злоумышленник может украсть данные учетной записи команды жертвы ».

Злоумышленник может использовать уязвимость, просто отправив вредоносную ссылку (например, изображение GIF) жертве, или всем участникам группового чата. Затем, когда получатели открывают сообщение, браузер отправляет авторизованные куки-файлы в скомпрометированный поддомен в попытке загрузить ресурс (то есть изображение GIF).

      После получения токена авторизации злоумышленник может создать токен Skype и, следовательно, взять под контроль учетную запись жертвы. Атака может быть начата злоумышленниками за пределами целевой организации, например, отправив приглашение на конференц-связь и обманом заставив жертв открыть сообщение.

     «Жертва никогда не узнает, что на нее напали, что делает использование этой уязвимости скрытной и очень опасной».

 «В то время как ограничение вашей организации внутренним общением уменьшит вашу подверженность, было  обнаружено, что все еще возможно общаться с посторонним, и любая уязвимость, которая включает в себя интерфейс чата с посторонним, достаточна, чтобы затронуть эту уязвимость.             Хорошим примером этого будет приглашение на конференц-звонок с посторонним для собеседования ».

Исследователи  компании CyberArk объяснили, что атака может распространяться автоматически, как червь, скомпрометировав все учетные записи в целевой организации.

      «Даже если злоумышленник не получит много информации из учетной записи команд, он все равно сможет использовать эту учетную запись для перемещения по всей организации (как червь)», - заключают исследователи CyberArk.

«В конце концов, злоумышленник может получить доступ ко всем данным из учетных записей команд вашей организации – и провести сбор конфиденциальной информации, информация о встречах и календаре, конкурентные данные, секреты, пароли, личной информации, бизнес-планы и т. д. »

         Будьте внимательны и осторожны – всё в Ваших руках!