GIF-põhiste rünnakute peatamiseks parandab Microsoft Teams vigu

Turbeuurijad on avastanud Microsoft Teamsis vea, mis võimaldas neil varastada kasutajakontodelt sõnumeid, saates pahatahtliku GIF-pildi.

Turvafirma CyberArk demonstreeris rünnakut esmaspäeval avaldatud videos.

Selle teadlased kasutasid sihtkasutajaga vestlusseansi haavatavuse käivitamiseks internetimeemi “Whale Hello There”.

Seejärel rüüstas rünnak salaja kõiki ohvri kirjutatud Microsoft Teami teateid.

"Lõpuks pääses ründaja juurde kõikidele teie organisatsiooni Teami kontode andmetele - kogudes konfidentsiaalset teavet, koosolekute ja kalendriteavet, võistlusandmeid, saladusi, paroole, privaatset teavet, äriplaane jne," ütles CyberArk oma aruandes.

Teadlased avastasid vea, uurides, kuidas Microsoft Teams töökoha sõnumside platvormi kaudu pildifaile vastu võtab ja saadab.

Kui pildifaile jagatakse ja salvestatakse, genereerib tarkvara digitaalse autentimise loa, et teha kindlaks, millised kasutajad pilte näevad ja millised mitte.

Teie arvuti brauseris salvestatakse samad juurdepääsumärgid Interneti-küpsistena.

Ainult serverid domeenis team.microsoft.com peaksid saama küpsise hankida, kuna autentimismärgid on konto turvalisuse seisukohast üliolulised.

Kuid CyberArk avastas, et kaks alamdomeeni veebisaitidel „aadsync-test.teams.microsoft.com” ja „data-dev.teams.microsoft.com” olid ülevõtmise suhtes haavatavad, avades rünnaku korraldamiseks ukse häkkerite juhitud serverile.

"Kui ründaja suudab kuidagi sundida kasutajat ülevõetud alamdomeene külastama, saadab ohvri brauser selle küpsise ründaja serverisse," ütles CyberArk.

"Pärast seda kõike saab ründaja varastada ohvri Teami konto andmeid."

Alamdomeeni külastama jõudmise võib saavutada ohvri petmine andmepüügisõnumi abil.

Kuid CyberArk mõistis, et võite rünnaku ümber pakkida ka GIF-i abil, mis võtab pildi laadimiseks automaatselt ühendust alamdomeeniga.

"Kui ohver selle sõnumi avab, üritab ohvri brauser pilti laadida ja see saadab autokõlastatud küpsise ohustatud alamdomeeni," teatas ettevõte.

"Ohver ei saa kunagi teada, et teda on rünnatud, mistõttu on selle haavatavuse kasutamine varjatud ja ohtlik."

Hea uudis on see, et Microsoft lappis probleemi 20.

aprillil, kuu aega pärast seda, kui CyberArk teatas ettevõttest puudusest.

"Kuigi me pole seda tehnikat looduses kasutanud, oleme astunud samme klientide turvalisuse tagamiseks," ütles Microsoft PCMagile.

Ettevõte juhib tähelepanu ka sellele, et rünnak nõuab mitut sammu, mis raskendab teele asumist.

Turbeuurijad on avastanud Microsoft Teamsis vea, mis võimaldas neil varastada kasutajakontodelt sõnumeid, saates pahatahtliku GIF-pildi.

Turvafirma CyberArk demonstreeris rünnakut esmaspäeval avaldatud videos.

Selle teadlased kasutasid sihtkasutajaga vestlusseansi haavatavuse käivitamiseks internetimeemi “Whale Hello There”.

Seejärel rüüstas rünnak salaja kõiki ohvri kirjutatud Microsoft Teami teateid.

"Lõpuks pääses ründaja juurde kõikidele teie organisatsiooni Teami kontode andmetele - kogudes konfidentsiaalset teavet, koosolekute ja kalendriteavet, võistlusandmeid, saladusi, paroole, privaatset teavet, äriplaane jne," ütles CyberArk oma aruandes.

Teadlased avastasid vea, uurides, kuidas Microsoft Teams töökoha sõnumside platvormi kaudu pildifaile vastu võtab ja saadab.

Kui pildifaile jagatakse ja salvestatakse, genereerib tarkvara digitaalse autentimise loa, et teha kindlaks, millised kasutajad pilte näevad ja millised mitte.

Teie arvuti brauseris salvestatakse samad juurdepääsumärgid Interneti-küpsistena.

Ainult serverid domeenis team.microsoft.com peaksid saama küpsise hankida, kuna autentimismärgid on konto turvalisuse seisukohast üliolulised.

Kuid CyberArk avastas, et kaks alamdomeeni veebisaitidel „aadsync-test.teams.microsoft.com” ja „data-dev.teams.microsoft.com” olid ülevõtmise suhtes haavatavad, avades rünnaku korraldamiseks ukse häkkerite juhitud serverile.

"Kui ründaja suudab kuidagi sundida kasutajat ülevõetud alamdomeene külastama, saadab ohvri brauser selle küpsise ründaja serverisse," ütles CyberArk.

"Pärast seda kõike saab ründaja varastada ohvri Teami konto andmeid."

Alamdomeeni külastama jõudmise võib saavutada ohvri petmine andmepüügisõnumi abil.

Kuid CyberArk mõistis, et võite rünnaku ümber pakkida ka GIF-i abil, mis võtab pildi laadimiseks automaatselt ühendust alamdomeeniga.

"Kui ohver selle sõnumi avab, üritab ohvri brauser pilti laadida ja see saadab autokõlastatud küpsise ohustatud alamdomeeni," teatas ettevõte.

"Ohver ei saa kunagi teada, et teda on rünnatud, mistõttu on selle haavatavuse kasutamine varjatud ja ohtlik."

Hea uudis on see, et Microsoft lappis probleemi 20.

aprillil, kuu aega pärast seda, kui CyberArk teatas ettevõttest puudusest.

"Kuigi me pole seda tehnikat looduses kasutanud, oleme astunud samme klientide turvalisuse tagamiseks," ütles Microsoft PCMagile.

Ettevõte juhib tähelepanu ka sellele, et rünnak nõuab mitut sammu, mis raskendab teele asumist.