网络安全公司 CyberArk 指出,只要借助一份 GIF 文件,就可在攻击链中利用微软Teams 平台中的漏洞接管用户账户。
研究人员表示,组合使用一个子域名接管漏洞和恶意 .GIF 文件可被用于“搜刮用户数据并最终接管组织机构的所有 Teams 账户。”该研究团队指出,用户无需共享而只需看到 GIF 就可受影响,因此这类漏洞可能有能力自动传播,可被视作蠕虫式漏洞。桌面以及 web 浏览器版本的 Teams 软件均受影响。
新冠肺炎的爆发使微软 Teams、Zoom 和 GoToMeeting 等产品的用户数量增加。微软 Teams 用于企业业务运营中如分享企业数据等,因此在当前情势下成为网络攻击者的新目标。
研究人员指出,在分析 Teams 平台后发现,每当打开时,Teams 客户端就会创建一个新的临时令牌或访问令牌。该访问令牌的形式是 JWT,是由微软授权和认证服务器 login.microsoftonline.com创建的。除了这个初始访问令牌外,还为 Teams 创建了其它令牌,其中一些令牌用于访问多种服务如 SharePoint 和 Outlook等。
”authtoken” 和 “skypetoken_asm” 两个 cookie 用于限制内容访问权限。Skype 令牌被发送至 teams.microsoft.com 及其子域名,易受子域名接管影响。研究人员表示,“如果攻击者能够强迫用户访问已遭接管的子域名,则受害者浏览器会将该 cookie 发送到攻击者服务器,而攻击者收到 authtoken 后可以创建一个 Skype 令牌。之后,攻击者能够窃取受害者的 Teams 账户数据。”
然而,攻击链较为复杂,因为攻击者有必要向受陷子域名颁发证书,仅通过向某具体路径上传文件的方式“证实”所有权。由于子域名已易受攻击,这种困难已不存在,新认证的攻击者向子域名发送恶意链接或向平台发送 .GIF 文件,可导致生成的令牌攻陷受害者的 Teams 会话。只要查看该图片,就可导致不止一个人受影响。
CyberArk 公司已发布 PoC,演示了攻击的发生过程,并发布可用于搜刮 Teams 会话的脚本。该公司指出,“新冠肺炎强迫很多公司不得不全职远程工作,导致使用 Teams 及类似平台的用户数量上涨。即使攻击者无法从 Teams 账户收集很多信息,但他们也可使用该账户遍历整个组织机构。”
研究人员根据协作漏洞披露 (CVD) 计划向微软安全响应中心报告研究成果。CyberArk 公司在3月23日将问题告知微软公司,后者更正了触发账户接管所需的两个子域名的 DNS 错误配置记录。4月20日,微软还发布补丁,缓解未来类似的安全漏洞风险。
一名微软发言人表示,“我们已和研究人员按照CVD 计划解决了本博客中提到的问题。虽然尚未发现该技术遭在野利用的证据,但我们已采取多种措施确保客户的安全。”
原文链接
https://www.zdnet.com/article/this-is-how-viewing-a-gif-in-microsoft-teams-triggers-account-hijacking-bug/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
