Microsoft Teams πως ένα GIF παραβιάζει το σύστημα

Η Microsoft φαίνεται ότι κατάφερε να επιλύσει ορισμένα προβλήματα ασφαλείας στο Microsoft Teams που θα μπορούσαν να χρησιμοποιηθούν σε αλυσιδωτές επιθέσεις για την ανάληψη λογαριασμών χρηστών – όλα με τη βοήθεια ενός αρχείου .GIF.

Ερευνητές της CyberArk ανακοίνωσαν σήμερα την ενός subdomain, που σε συνδυασμό με ένα κακόβουλο αρχείο .GIF, μπορούσε να χρησιμοποιηθεί για “συλλογή δεδομένων ενός χρήστη και τελικά την απόκτηση όλων των λογαριασμών του Teams ενός οργανισμού”.

Η ομάδα ανέφερε ότι τα ζητήματα ασφαλείας επηρεάζουν το Microsoft Teams τόσο στα desktops όσο και στην web έκδοση του προγράμματος.

Η πλατφόρμα επικοινωνιών της Microsoft φαίνεται να έχει αποκτήσει μια διευρυμένη πελατειακή βάση όπως και άλλες ανταγωνιστικές υπηρεσίες (Zoom, GoToMeeting κλπ) λόγω της εμφάνισης του COVID-19. Η εφαρμογή Microsoft Teams χρησιμοποιείται για τη διατήρηση της λειτουργίας των επιχειρήσεων, και ανάμεσα σε άλλα προσφέρει κοινή χρήση εταιρικών δεδομένων. Το γεγονός καθιστά την εφαρμογή ένα πολύ δελεαστικό στόχο για τους hackers.

Κατά τη διάρκεια της εξέτασης της πλατφόρμας από την CyberArk, η ομάδα διαπίστωσε ότι κάθε φορά που ανοίγει η εφαρμογή, ο πελάτης του Teams δημιουργεί ένα νέο διακριτικό προσωρινής πρόσβασης, το οποίο πιστοποιείται μέσω του subdomain login.microsoftonline.com. Δημιουργούνται κι άλλα διακριτικά για πρόσβαση σε άλλες υποστηριζόμενες υπηρεσίες όπως το SharePoint και το Outlook.

Παρατήρησαν ότι χρησιμοποιούνται δύο cookie για τον περιορισμό των δικαιωμάτων πρόσβασης στο , τα “authtoken” και “skypetoken_asm.” Χρησιμοποίησαν λοιπόν αυτά τα αρχεία για να αποκτήσουν ένα διακριτικό του Sskype, στέλνοντας το στη διεύθυνση teams.microsoft.com και τα subdomains που χρησιμοποιεί. Σε δύο από αυτά μπόρεσαν να πραγματοποιήσουν subdomain takeover.

“Αν ένας εισβολέας μπορεί με κάποιο τρόπο να αναγκάσει ένα χρήστη να επισκεφθεί τα subdomains που έχουν καταληφθεί (από τους hackers), το πρόγραμμα περιήγησης του θύματος θα στείλει ένα cookie στον διακομιστή του εισβολέα. Ο εισβολέας (αφού αποκτήσει το το authtoken) μπορεί να δημιουργήσει ένα διακριτικό Skype”, αναφέρει η ομάδα. “Μετά από όλα αυτά, ο εισβολέας μπορεί να κλέψει τα δεδομένα των λογαριασμών του θύματος.”

Ωστόσο, η αλυσίδα ς είναι περίπλοκη, καθώς ήταν απαραίτητο για τον εισβολέα να εκδώσει ένα πιστοποιητικό για όλα τα παραβιασμένα subdomains υποτομείς.

Microsoft Teams

Όμως καθώς τα subdomains ήταν ευάλωτα, ξεπεράστηκε αυτή η πρόκληση, στέλνοντας είτε ένα κακόβουλο σύνδεσμο προς το subdomain είτε στέλνοντας ένα αρχείο .GIF σε μια ομάδα. Αυτό θα μπορούσε να οδηγήσει στη του απαιτούμενου διακριτικού που χρειαζόταν για να παραβιάσουν μια συνεδρία του Microsoft Teams ενός θύματος, καθώς η εικόνα μόνο που θα προβληθεί, μπορούσε να επηρεάσει περισσότερα από ένα άτομα κάθε φορά.

Η CyberArk κυκλοφόρησε ένα PoC που δείχνει πώς θα μπορούσαν να είχαν πραγματοποιηθεί επιθέσεις, παράλληλα με ένα script που θα μπορούσε να χρησιμοποιηθεί για να σταματήσει τις συνομιλίες του Teams.

Οι ερευνητές συνεργάστηκαν με την Microsoft Security Response Center (MSRC) στο πλαίσιο του προγράμματος Coordinated Vulnerability Disclosure (CVD) για να αναφέρουν τα ευρήματά τους.

Η CyberArk ανέφερε το ελάττωμα στις 23 Μαρτίου. Την ίδια ημέρα, η εταιρεία από το διόρθωσε τις λάθος ρυθμίσεις των DNS των δύο subdomains, και στις 20 Απριλίου κυκλοφόρησε μια ενημέρωση που επιδιορθώνει πλήρως το πρόβλημα.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).