Microsoft Teams: oglądanie GIF-a umożliwiało przejęcie konta użytkownika

Microsoft poinformował o niebezpiecznej luce dopiero po jej załataniu. A była to bardzo niebezpieczna podatność.

Microsoft Teams to usługa, z której korzystają miliony użytkowników - tym bardziej, że na czas pandemii Covid-19 została udostępniona za darmo. A ponieważ używa jej tyle osób, mechanizmy odpowiedzialne za bezpieczeństwo są niezwykle istotne - i, niestety, tu nieco zawiodły. Odkryła to zajmująca się bezpieczeństwem firma CyberArk - miało to miejsce miesiąc temu. Natychmiast przekazała informacje do Microsoft Security Research Center, której stworzenie łatki zajęło nieco czasu, jednak już została zaaplikowana i można bezpiecznie korzystać z Teams w najnowszej edycji. Na czym polegała podatność? Otóż umożliwiała ona - za pośrednictwem przejętej subdomeny, służącej do hostowania grafik - kradzież tokenów bezpieczeństwa w momencie, gdy użytkownik przeglądał pliki w formacie .gif.

CyberAkr wyjaśnia, jak przebiegał mechanizm ataku. Można było wykorzystać do niego dwie subdomeny:

  • aadsync-test.teams.microsoft.com
  • data-dev.teams.microsoft.com

Microsoft Teams: oglądanie GIF-a umożliwiało przejęcie konta użytkownika

Jeśli atakujący skłonił w jakikolwiek sposób ofiarę do odwiedzenia którejś z nich, przeglądarka ofiary wysyłała ciasteczko (cookie) na serwer hakera, który mógł dzięki temu stworzyć token Skype, przez co możliwe było przejęcie związanych z Teams danych ofiary. Aby do tego doszło, atakujący musiał mieć certyfikat do subdomeny, a gdy go uzyskiwał, ciasteczko było wysyłane poprzez bezpieczne połączenie HTTPS. Jednak na tym nie koniec - przeglądany przez ofiarę plik musiał mieć konkretną ścieżkę, aby nawiązywać połączenie z subdomeną.

Choć brzmi to skomplikowanie, było do wykonania, a ofiara takiego ataku nawet nie miała pojęcia, że doszło do incydentu i kradzieży danych. Czy odnotowano takie przypadki? Oficjalnie - nie. Jednak biorąc pod uwagę miliony użytkowników Teams, nie ma możliwości sprawdzenia wszystkich. Dlatego też zalecamy aktualizację Teams do najnowszej wersji - w której podatność została już zlikwidowana.

Źródło: BetaNews