СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
CISOCLUB
27.04.2020
#Dev#ИБ#Инфра

GIF-картинка позволяла получить доступ к аккаунтам пользователей Microsoft Teams

CyberArk, работающая в сфере информационной безопасности, проанализировала технологии обработки источников картинок в Microsoft Teams и выявила, что злоумышленники через отправку GIF-изображения пользователю могли получить доступ к его аккаунту.

Способ, который был опубликован специалистами CyberArk, через отправку GIF-картинки давал злоумышленникам доступ сразу к ряду аккаунтов пользователей. В распоряжении киберпреступников после этого находились переписки пользователей и потоки задач. Чтобы успешно атаковать пользователей с помощью этого способа, киберпреступники должны были контролировать поддомены teams.microsoft.com. О найденной уязвимости компания CyberArk заранее сообщила в Microsoft. Проблема была исправлена в короткие сроки.

Сервис Microsoft Teams, чтобы иметь полную информацию о получении пользователем отправленной ему картинки, пользуется двумя токенами для проверки подлинности – skypetoken, authtoken. Первый применяется, чтобы выполнить проверку подлинности на сервере, который обрабатывает запросы действий от пользователей (прочтение и сообщений, а второй – для загрузки картинок в доменах Skype и Teams, генерации skypetoken.

Если в руках киберпреступника оказывались эти токены, то он получал возможность выполнять вызовы с использованием Teams API и мог контролировать аккаунт, что позволяло ему прочесть переписку, отсылать новые сообщения, формировать группы, изменять разрешения и т. д. Ограничением во всём этом было то, что токен authtoken мог применять на поддоменах teams.microsoft.com и нигде более. Во время анализа сотрудники CyberArk смогли получить доступ к сервисам aadsync-test и data-dev, расположенных на поддомене teams.microsoft.com.

Киберпреступник после посещения жертвой поддоменов получал от браузера пользователя токен authtoken, который отправлялся на контролируемый хакером сервер. Отправка на сторонний сервер authtoken позволяло создавать собственный skypetoken. Такая простая схема действий позволяла киберпреступникам получить сведения об аккаунте пользователя в Microsoft Teams.

Атаковать можно было в фоновом режиме, поэтому о незаконных действиях пользователи могли и не догадываться. В компании CyberArk уверяют, что возможна полная автоматизация подобных атак и их распространение в виде вредоносов.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: