Microsoft Teams Patches misslyckas med att stoppa GIF-baserade attacker

Säkerhetsforskare har upptäckt en brist i Microsoft Teams som gjorde det möjligt för dem att stjäla meddelanden från användarkonton genom att skicka en skadlig GIF-bild.

Säkerhetsföretaget CyberArk demonstrerade attacken i en video som släpptes måndag.

Dess forskare använde internetmemet "Whale Hello There" för att utlösa sårbarheten i en chatt med en målanvändare.

Attacken plundrade sedan i hemlighet varje Microsoft Teams-meddelande som skrivits av offret.

”Så småningom kunde angriparen få tillgång till all data från din organisations Teams-konton - samla in konfidentiell information, möten och kalenderinformation, konkurrensdata, hemligheter, lösenord, privat information, affärsplaner, etc,” sa CyberArk i sin rapport.

Forskare upptäckte felet när de undersökte hur Microsoft Teams tar emot och skickar bildfiler över meddelandeplattformen på arbetsplatsen.

När bildfiler delas och lagras skapar programvaran en digital autentiseringstoken för att avgöra vilka användare som kan se bilderna och vilka som inte kan.

Samma åtkomsttoken lagras i din dators webbläsare som en internetkaka.

Endast servrar på teams.microsoft.com-domänen ska kunna hämta cookien, med tanke på att autentiseringstoken är avgörande för kontosäkerhet.

CyberArk upptäckte emellertid att två underdomäner på "aadsync-test.teams.microsoft.com" och "data-dev.teams.microsoft.com" var sårbara för övertagande och öppnade dörren för en hackarkontrollerad server för att iscensätta attacken.

”Om en angripare på något sätt kan tvinga en användare att besöka de underdomäner som har tagits över kommer offrets webbläsare att skicka denna cookie till angriparens server,” sa CyberArk.

"Efter att ha gjort allt detta kan angriparen stjäla offrets Teams-kontodata."

Att få en användare att besöka underdomänen kan åstadkommas genom att lura offret med ett phishing-meddelande.

CyberArk insåg dock att du också kunde packa om attacken med en GIF, som automatiskt kommer att kontakta underdomänen för att ladda upp bilden.

"När offret öppnar detta meddelande kommer offrets webbläsare att försöka ladda bilden och detta kommer att skicka autentoken-kakan till den komprometterade underdomänen", säger företaget.

"Offret kommer aldrig att veta att de har attackerats, vilket gör utnyttjandet av denna sårbarhet smygande och farligt."

Den goda nyheten är att Microsoft lappade problemet den 20 april, en månad efter att CyberArk rapporterade felet till företaget.

"Även om vi inte har sett någon användning av denna teknik i naturen, har vi vidtagit åtgärder för att skydda våra kunder", sa Microsoft till Daxdi.

Företaget påpekar också att attacken kräver flera steg, vilket gör det svårt att dra igång.

Säkerhetsforskare har upptäckt en brist i Microsoft Teams som gjorde det möjligt för dem att stjäla meddelanden från användarkonton genom att skicka en skadlig GIF-bild.

Säkerhetsföretaget CyberArk demonstrerade attacken i en video som släpptes måndag.

Dess forskare använde internetmemet "Whale Hello There" för att utlösa sårbarheten i en chatt med en målanvändare.

Attacken plundrade sedan i hemlighet varje Microsoft Teams-meddelande som skrivits av offret.

”Så småningom kunde angriparen få tillgång till all data från din organisations Teams-konton - samla in konfidentiell information, möten och kalenderinformation, konkurrensdata, hemligheter, lösenord, privat information, affärsplaner, etc,” sa CyberArk i sin rapport.

Forskare upptäckte felet när de undersökte hur Microsoft Teams tar emot och skickar bildfiler över meddelandeplattformen på arbetsplatsen.

När bildfiler delas och lagras skapar programvaran en digital autentiseringstoken för att avgöra vilka användare som kan se bilderna och vilka som inte kan.

Samma åtkomsttoken lagras i din dators webbläsare som en internetkaka.

Endast servrar på teams.microsoft.com-domänen ska kunna hämta cookien, med tanke på att autentiseringstoken är avgörande för kontosäkerhet.

CyberArk upptäckte emellertid att två underdomäner på "aadsync-test.teams.microsoft.com" och "data-dev.teams.microsoft.com" var sårbara för övertagande och öppnade dörren för en hackarkontrollerad server för att iscensätta attacken.

”Om en angripare på något sätt kan tvinga en användare att besöka de underdomäner som har tagits över kommer offrets webbläsare att skicka denna cookie till angriparens server,” sa CyberArk.

"Efter att ha gjort allt detta kan angriparen stjäla offrets Teams-kontodata."

Att få en användare att besöka underdomänen kan åstadkommas genom att lura offret med ett phishing-meddelande.

CyberArk insåg dock att du också kunde packa om attacken med en GIF, som automatiskt kommer att kontakta underdomänen för att ladda upp bilden.

"När offret öppnar detta meddelande kommer offrets webbläsare att försöka ladda bilden och detta kommer att skicka autentoken-kakan till den komprometterade underdomänen", säger företaget.

"Offret kommer aldrig att veta att de har attackerats, vilket gör utnyttjandet av denna sårbarhet smygande och farligt."

Den goda nyheten är att Microsoft lappade problemet den 20 april, en månad efter att CyberArk rapporterade felet till företaget.

"Även om vi inte har sett någon användning av denna teknik i naturen, har vi vidtagit åtgärder för att skydda våra kunder", sa Microsoft till Daxdi.

Företaget påpekar också att attacken kräver flera steg, vilket gör det svårt att dra igång.