微软（Microsoft）修复了其协作平台Microsoft Teams中的一个子域名接管漏洞，内部攻击者可利用该漏洞将一张GIF图像当作武器，并借助该图像从目标系统窃取数据，控制组织的所有Teams账户。

CyberArk公司的研究人员表示，该攻击只要诱使受害者查看一张恶意的GIF图像，就能产生作用。研究人员同时创建了该攻击的PoC。

研究人员于3月23日报告了该漏洞，微软上周一通过更新配置错误的DNS记录消除了该威胁。

CyberArk公司的网络安全研究员Omer Tsarfati周一在一篇技术分析文章中写道，“即便攻击者没有从遭受入侵的Teams账户收集很多的信息，他们依然可以利用该账户遍历该组织（就像蠕虫）。最终，攻击者可以访问组织Teams账户的所有数据——收集机密信息，有竞争力的数据，秘密，密码，私人信息，业务计划等。”

恶意攻击者可滥用一个JSON WebToken（“authtoken”）和一个“skype token”。微软结合使用这两个token，让不同微软服务器及SharePoint和Outlook等服务之间的Teams用户可以查看共享的图像。

Tsarfati表示，该漏洞存在于用来促进服务和服务器之间通信的API。简单地说，微软通过*.teams.microsoft.com验证“authtoken”和“skype token” cookie。接着，研究人员通过分离和篡改这两个token进行PoC攻击。

Tsarfati在文中表示，“authtoken”和“skypetoken_asm” cookie被发往teams.microsoft.com或teams.microsoft.com下的任何子域，以对GIF发送者和接收者进行身份认证。

CyberArk公司在研究中发现两个不安全的微软子域“aadsync-test.teams.microsoft.com”和“data-dev.teams.microsoft.com”可以被控制。

该名研究人员表示，“如果攻击者可以迫使用户访问已经被控制的子域，受害者的浏览器就会将该cookie发到攻击者的服务器，攻击者（收到该authtoken后）可以创建一个Skype token。完成这些之后，攻击者就可以窃取受害者的Teams账户数据。”

“有了这两个token，访问token（authtoken）和Skype token，攻击者就能够通过Teams API接口进行API调用/操作，让用户发送信息，读取信息，创建小组，添加新的小组用户或移除小组用户，修改在小组中的权限。”

该PoC值得注意的方面是，触发该攻击只需要目标用户查看恶意Teams用户发送的一张恶意GIF图像。

Tsarfati解释道，“Teams设置‘authtoken’cookie是为了对跨Teams和Skype之间域加载图像的用户进行身份认证。当受害者打开该消息时，受害者的浏览器会尝试加载该图像，并将该authtoken cookie发到被入侵的子域。”

攻击者可利用该漏洞获取受害者的“authtoken”，最终获取受害者的Microsoft Teams数据。

Tsarfati表示，从安全的角度来说，受害者只需要查看特殊构造的信息就会受到影响，是个噩梦。每个可能被该漏洞影响的账户也可能成为一个传播点，扩散到公司所有的其他账户。该漏洞还可被利用对群组发动攻击，攻击者借此可以更少的步骤更轻易地、更快地控制用户。

研究人员表示，在3月23日发现该账户接管漏洞后，他们就与微软安全研究中心一起合作。微软快速删除了这两个子域错误配置的DNS记录，解决了该问题。

本文源自Threat Post；转载请注明出处。