神漏洞:一张GIF图片就能劫持你的微软Team工作账号
该研究团队指出,用户无需共享而只需看到 GIF 就可受影响,因此这类漏洞可能有能力自动传播,可被视作蠕虫式漏洞。
CyberArk 研究人员发现有攻击者利用 Microsoft Teams 的子域名接管漏洞,只需一张 gif 就可以获取用户的数据,并劫持 Teams 账户。在攻击中,用户只要受到恶意 gif 文件,需要分享,就会受到影响。
Teams
Microsoft Teams 是一款基于聊天的智能团队协作工具,可以同步进行文档共享,并为成员提供包括语音、视频会议在内的即时通讯工具。Teams 的一个优势是可以融合在 office 365 中。
Microsoft Teams
研究人员指出,在分析 Teams 平台后发现,每当打开时,Teams 客户端就会创建一个新的临时令牌或访问令牌。该访问令牌的形式是 JWT,是由微软授权和认证服务器 login.microsoftonline.com创建的。除了这个初始访问令牌外,还为 Teams 创建了其它令牌,其中一些令牌用于访问多种服务如 SharePoint 和 Outlook等。
”authtoken” 和 “skypetoken_asm” 两个 cookie 用于限制内容访问权限。Skype 令牌被发送至 teams.microsoft.com 及其子域名,易受子域名接管影响。研究人员表示,“如果攻击者能够强迫用户访问已遭接管的子域名,则受害者浏览器会将该 cookie 发送到攻击者服务器,而攻击者收到 authtoken 后可以创建一个 Skype 令牌。之后,攻击者能够窃取受害者的 Teams 账户数据。”
Teams 攻击流
然而,攻击链较为复杂,因为攻击者有必要向受陷子域名颁发证书,仅通过向某具体路径上传文件的方式“证实”所有权。由于子域名已易受攻击,这种困难已不存在,新认证的攻击者向子域名发送恶意链接或向平台发送 .GIF 文件,可导致生成的令牌攻陷受害者的 Teams 会话。只要查看该图片,就可导致不止一个人受影响。
CyberArk 公司已发布 PoC,演示了攻击的发生过程,并发布可用于搜刮 Teams 会话的脚本。该公司指出,“新冠肺炎强迫很多公司不得不全职远程工作,导致使用 Teams 及类似平台的用户数量上涨。即使攻击者无法从 Teams 账户收集很多信息,但他们也可使用该账户遍历整个组织机构。”
Poc地址:https://fast.wistia.com/embed/medias/f4b25lcyzm
窃取的信息
研究人员根据协作漏洞披露 (CVD) 计划向微软安全响应中心报告研究成果。CyberArk 公司在3月23日将问题告知微软公司,后者更正了触发账户接管所需的两个子域名的 DNS 错误配置记录。4月20日,微软还发布补丁,缓解未来类似的安全漏洞风险。
一名微软发言人表示,“我们已和研究人员按照CVD 计划解决了本博客中提到的问题。虽然尚未发现该技术遭在野利用的证据,但我们已采取多种措施确保客户的安全。”
原文链接
https://www.zdnet.com/article/this-is-how-viewing-a-gif-in-microsoft-teams-triggers-account-hijacking-bug/
推荐阅读
*小米记录数百万人“私密”的使用信息:数据被上传至阿里云服务器