Datele Microsoft Teams puteau fi furate cu un „GIF malițios”. Giganții de tehnologie se luptă să devină instrumentul principal de videoconferință pentru cei care lucrează de acasă pe durata pandemiei. Zoom a avut o creștere rapidă, dar pe baza diverselor probleme de securitate și confidențialitate, a atras concurenți.
Însă, până și rivalii au defectele lor. O slăbiciune a fost descoperită la instrumentul de videoconferință Microsoft Teams.
Datele Microsoft Teams puteau fi furate cu un „GIF malițios”
Timp de cel puțin trei săptămâni, un „GIF malițios” ar fi putut fura datele utilizatorilor din conturile Microsoft Teams. Cercetătorii în securitate cibernetică au avertizat că s-ar fi putut prelua controlul asupra „întregii liste de conturi Teams” a unei companii.
Vulnerabilitatea aceasta a fost soluționată pe 20 aprilie. Acest lucru înseamnă că utilizatorii sunt acum în siguranță de acest atac specific. Dar incidentul arată că nu doar Zoom este vulnerabil la atacuri. Alte instrumente de videoconferință care au devenit populare în rândul populației aflate în izolare, pot și vor fi vizate, de asemenea.
Vulnerabilitatea a afectat fiecare versiune a instrumentului Microsoft Teams pentru desktop și web. Problema constă în modul în care Microsoft gestiona jetoane de autentificare pentru vizualizarea imaginilor în Teams.
Gândește-te la aceste jetoane ca fișiere de identificare a unui utilizator când accesează contul Teams. Aceste jetoane sunt gestionate de Microsoft pe serverul său situat pe echipe.microsoft.com sau la orice subdomeniu de sub această adresă.
CyberArk a constatat că este posibilă deturnarea a două dintre aceste subdomenii. Vorbim despre aadsync-test.teams.microsoft.com și data-dev.teams.microsoft.com.
Experții au descoperit că, dacă un hacker ar putea face ca o țintă vizată să acceseze subdomeniile deturnate, jetoanele de autentificare ar putea fi transmise pe serverul atacatorului. Hacker-ul ar putea apoi să creeze un alt jeton, jetonul „skype”,care să le acorde acces pentru a fura datele contului Teams a victimei.
Datele Microsoft Teams puteau fi furate cu un „GIF malițios”
Modul evident de a convinge un utilizator să viziteze subdomeniile compromise ar fi printr-un atac clasic de phishing. Hackerul ar trimite victimei un link pentru a o face să dea click pe el. Dar cercetătorii CyberArk au considerat că acest tip de atac ar fi prea evident.
Astfel, au creat un GIF Donald Duck „malițios”. Prin simpla vizualizare a acestui GIF contul Teams al victimei ar renunța la jetonul de autentificare și, prin urmare, la datele contului. Acest lucru se datorează faptului că sursa GIF a fost un subdomeniu compromis, iar Teams va contacta automat subdomeniul pentru a vizualiza imaginea.
CyberArk a declarat că hackerii ar putea abuza de slăbiciune pentru a crea un worm. Astfel atacul se răspândește de la un utilizator la altul pentru a ajunge la un număr mare de oameni într-un timp scurt.
„Faptul că victima trebuie doar să vadă mesajul pentru a fi afectată este un coșmar al securității. Fiecare cont care ar fi putut fi afectat de această vulnerabilitate ar putea fi, de asemenea, un punct de răspândire la toate celelalte conturi ale companiei.”, au scris cercetătorii într-un raport transmis către Forbes.
Despre ce impact vorbim
Impactul ar putea fi grav, deși nu există nicio indicație că un hacker a profitat deja de vulnerabilitate.
„În cele din urmă, atacatorul ar putea accesa toate datele din conturile Teams ale organizației, adunând informații confidențiale, date competitive, secrete, parole, informații private, planuri de afaceri.”, a scris CyberArk.
„Poate și mai deranjant ar putea fi că ar putea exploata această vulnerabilitate pentru a trimite informații false către angajați. Se poate da drept persoana cea mai de încredere a unei companii, ceea ce duce la daune financiare, confuzie, scurgeri directe de date și multe altele.”
Ce a făcut Microsoft?
Vulnerabilitatea a fost soluționată pe 20 aprilie, deși Microsoft a luat măsuri pe 23 martie pentru a se asigura că subdomeniile vulnerabile nu pot fi deturnate. Măsura a fost luată în aceeași zi în care CyberArk a informat gigantul de tehnologie despre ce a găsit.
Omer Tsarfati, cercetător la CyberArk Labs, a declarat pentru Forbes că nu este clar de cât timp exista acestă vulnerabilitate în Microsoft Teams. El a spus că subdomeniile vulnerabile puteau fi preluate începând cu 27 februarie anul acesta. Ceea ce înseamnă că slăbiciunile existau de cel puțin trei săptămâni.
Omer Tsarfati a lăudat Microsoft pentru că a reacționat „foarte repede”, menționând că utilizatorii nu trebuie să facă nimic, întrucât vulnerabilitatea a fost soluționată. Ca în cazul Zoom, Microsoft a acționat rapid pentru a rezolva problemele care afectează populația. Deși, astfel de vulnerabilitățile vor afecta întotdeauna astfel de instrumente de comunicare.
