微软(Microsoft)修复了其协作平台Microsoft Teams中的一个子域名接管漏洞,内部攻击者可利用该漏洞将一张GIF图像当作武器,并借助该图像从目标系统窃取数据,控制组织的所有Teams账户。
CyberArk公司的研究人员表示,该攻击只要诱使受害者查看一张恶意的GIF图像,就能产生作用。研究人员同时创建了该攻击的PoC。
研究人员于3月23日报告了该漏洞,微软上周一通过更新配置错误的DNS记录消除了该威胁。
CyberArk公司的网络安全研究员Omer Tsarfati周一在一篇技术分析文章中写道,“即便攻击者没有从遭受入侵的Teams账户收集很多的信息,他们依然可以利用该账户遍历该组织(就像蠕虫)。最终,攻击者可以访问组织Teams账户的所有数据——收集机密信息,有竞争力的数据,秘密,密码,私人信息,业务计划等。”
恶意攻击者可滥用一个JSON WebToken(“authtoken”)和一个“skype token”。微软结合使用这两个token,让不同微软服务器及SharePoint和Outlook等服务之间的Teams用户可以查看共享的图像。
Tsarfati表示,该漏洞存在于用来促进服务和服务器之间通信的API。简单地说,微软通过*.teams.microsoft.com验证“authtoken”和“skype token” cookie。接着,研究人员通过分离和篡改这两个token进行PoC攻击。
Tsarfati在文中表示,“authtoken”和“skypetoken_asm” cookie被发往teams.microsoft.com或teams.microsoft.com下的任何子域,以对GIF发送者和接收者进行身份认证。
CyberArk公司在研究中发现两个不安全的微软子域“aadsync-test.teams.microsoft.com”和“data-dev.teams.microsoft.com”可以被控制。
该名研究人员表示,“如果攻击者可以迫使用户访问已经被控制的子域,受害者的浏览器就会将该cookie发到攻击者的服务器,攻击者(收到该authtoken后)可以创建一个Skype token。完成这些之后,攻击者就可以窃取受害者的Teams账户数据。”
“有了这两个token,访问token(authtoken)和Skype token,攻击者就能够通过Teams API接口进行API调用/操作,让用户发送信息,读取信息,创建小组,添加新的小组用户或移除小组用户,修改在小组中的权限。”
该PoC值得注意的方面是,触发该攻击只需要目标用户查看恶意Teams用户发送的一张恶意GIF图像。
Tsarfati解释道,“Teams设置‘authtoken’cookie是为了对跨Teams和Skype之间域加载图像的用户进行身份认证。当受害者打开该消息时,受害者的浏览器会尝试加载该图像,并将该authtoken cookie发到被入侵的子域。”
攻击者可利用该漏洞获取受害者的“authtoken”,最终获取受害者的Microsoft Teams数据。
Tsarfati表示,从安全的角度来说,受害者只需要查看特殊构造的信息就会受到影响,是个噩梦。每个可能被该漏洞影响的账户也可能成为一个传播点,扩散到公司所有的其他账户。该漏洞还可被利用对群组发动攻击,攻击者借此可以更少的步骤更轻易地、更快地控制用户。
研究人员表示,在3月23日发现该账户接管漏洞后,他们就与微软安全研究中心一起合作。微软快速删除了这两个子域错误配置的DNS记录,解决了该问题。
本文源自Threat Post;转载请注明出处。