Microsoft Teams: Η Microsoft φαίνεται ότι κατάφερε να βρει λύση σε ορισμένα προβλήματα ασφαλείας στο Microsoft Teams που θα μπορούσαν να χρησιμοποιηθούν σε αλυσιδωτές επιθέσεις για την ανάληψη λογαριασμών χρηστών. Όλα με τη βοήθεια ενός αρχείου .GIF. Συγκεκριμένα, ερευνητές της CyberArk ανακοίνωσαν σήμερα την ευπάθεια ενός subdomain, που σε συνδυασμό με ένα κακόβουλο αρχείο .GIF, μπορούσε να χρησιμοποιηθεί για “συλλογή δεδομένων ενός χρήστη και τελικά την απόκτηση όλων των λογαριασμών του Teams ενός οργανισμού”.
Η ομάδα ανέφερε ότι τα ζητήματα ασφαλείας επηρεάζουν το Microsoft Teams τόσο στα desktops όσο και στην web έκδοση του προγράμματος.
Η πλατφόρμα επικοινωνίας της Microsoft χρησιμοποιείται από πολλούς ανθρώπους, ειδικά αυτή την περίοδο λόγω COVID-19. Το Microsoft Teams χρησιμοποιείται, επίσης, από πολλές επιχειρήσεις, επιτρέποντας την κοινή χρήση εταιρικών δεδομένων και, ως εκ τούτου, αποτελεί ελκυστικό στόχο για τους hackers. Οι ερευνητές της CyberArk, μελέτησαν την πλατφόρμα και διαπίστωσαν ότι κάθε φορά που ανοίγει η εφαρμογή, ο Teams client δημιουργεί ένα νέο token προσωρινής πρόσβασης. Το πρόβλημα είχε να κάνει με τον τρόπο που η Microsoft χειριζόταν αυτά τα tokens, που στην ουσία αποδεικνύουν ότι ένας νόμιμος χρήστης αποκτά πρόσβαση στον Teams λογαριασμό.
Η Microsoft διαχειρίζεται αυτά τα tokens στο server της, στη διεύθυνση teams.microsoft.com ή σε οποιοδήποτε subdomain κάτω από αυτήν τη διεύθυνση. Η CyberArk διαπίστωσε ότι δύο από αυτά τα subdomains, aadsync-test.teams.microsoft.com και data-dev.teams.microsoft.com, ήταν ευάλωτα σε μια subdomain takeover ευπάθεια.
“Εάν ένας εισβολέας μπορεί με κάποιο τρόπο να αναγκάσει έναν χρήστη να επισκεφθεί τα παραβιασμένα subdomains, ο browser του θύματος θα στείλει τα tokens στον server του εισβολέα και εκείνος στη συνέχεια θα μπορεί να δημιουργήσει ένα άλλο token, το Skype token”, είπαν οι ερευνητές. “Μετά από όλα αυτά, ο εισβολέας μπορεί να κλέψει τα δεδομένα του Microsoft Teams λογαριασμού του θύματος”.
Ωστόσο, η επίθεση είναι περίπλοκη, καθώς ο εισβολέας πρέπει να εκδώσει ένα πιστοποιητικό για τα παραβιασμένα subdomains.
Καθώς τα subdomains ήταν ήδη ευάλωτα, αυτή η πρόκληση ξεπεράστηκε, και με την αποστολή είτε ενός κακόβουλου συνδέσμου στο subdomain είτε ενός αρχείου .GIF στο teams, θα μπορούσε να δημιουργηθεί το απαιτούμενο token για να αποκτήσει πρόσβαση ο εισβολέας. Η απλή προβολή του GIF είναι αρκετή, επομένως μπορούν να επηρεαστούν περισσότεροι χρήστες του Microsoft Teams, σε μια μόνο επίθεση.
Η CyberArk κυκλοφόρησε proof-of-concept (PoC) code που δείχνει πώς θα μπορούσαν να γίνουν οι επιθέσεις, παράλληλα με ένα script που θα μπορούσε να χρησιμοποιηθεί για να κλέψει τις συνομιλίες του Teams.
“Ο COVID-19 ανάγκασε πολλές εταιρείες να στραφούν στην απομακρυσμένη εργασία, οδηγώντας σε σημαντική αύξηση του αριθμού των χρηστών που χρησιμοποιούν το Teams ή άλλες πλατφόρμες σαν αυτήν”, λέει η CyberArk. “Ακόμα κι αν ένας εισβολέας δεν συγκεντρώσει πολλές πληροφορίες από έναν λογαριασμό Teams, θα μπορούσε να χρησιμοποιήσει τον λογαριασμό για να «διασχίσει» ολόκληρο τον οργανισμό”.
Οι ερευνητές συνεργάστηκαν με το Microsoft Security Response Center (MSRC) στο πλαίσιο του προγράμματος Coordinated Vulnerability Disclosure (CVD) για να αναφέρουν τα ευρήματά τους. Η CyberArk ανέφερε την ευπάθεια στις 23 Μαρτίου. Την ίδια ημέρα, η Microsoft διόρθωσε τις εσφαλμένες ρυθμίσεις DNS των δύο subdomains που επέτρεπαν στους επιτιθέμενους να πάρουν τον έλεγχο των Teams λογαριασμών. Στις 20 Απριλίου, η εταιρεία κυκλοφόρησε, επίσης, ένα patch για να μετριάσει τον κίνδυνο παρόμοιων σφαλμάτων.
Ένας εκπρόσωπος της Microsoft είπε: “Αντιμετωπίσαμε το ζήτημα που συζητήθηκε σε αυτό το blog και συνεργαστήκαμε με τους ερευνητές στο πλαίσιο του Coordinated Vulnerability Disclosure. Ενώ δεν έχουμε δει καμία εκμετάλλευση αυτής της τεχνικής, έχουμε λάβει μέτρα για να διατηρήσουμε τους πελάτες μας ασφαλείς”.