Microsoft rozwiązał problemy w zabezpieczeniach Microsoft Teams. Odkryta przez CyberArk podatność mogła zostać wykorzystane najpierw do przejęcia kont użytkowników a ostatecznie całej listy kont Teams w organizacji. Co ciekawe, było to możliwe z wykorzystaniem niepozornego pliku .GIF.
Źródło problemu. Podczas badania platformy Microsoft Teams, zespół CyberArk stwierdził, że za każdym razem, gdy aplikacja jest otwierana, klient Microsoft Teams tworzy nowy token dostępu tymczasowego, uwierzytelniany poprzez login.microsoftonline.com. Dodatkowo generowane są również inne tokeny w celu uzyskania dostępu do obsługiwanych usług takich jak SharePoint i Outlook.
Mechanizm ograniczenia dostępu do „authtoken” i „skypetoken_asm” opiera się na dwóch plikach cookies. Token Skype jest wysłany na teams.microsoft.com i jego subdomeny – z których dwie są podatne na przejęcie.
Hacker może przeprowadzić atak na dwa sposoby. Może próbować nakłonić użytkownika do odwiedzenia jednej ze złośliwych subdomen. Jest też w stanie wysłać spreparowaną wiadomość graficzną. Wtedy jego przeglądarka podejmując próbę załadowania zasobu, przekaże plik cookie do zaatakowanej subdomeny (serwer atakującego). Następnie atakujący dysponując już „authtoken” tworzy token Skype i jest już w stanie wykraść dane konta Microsoft Teams ofiary.
Wszystko odbywa się niejako za kulisami. Ofiara pozostaje całkowicie nieświadoma faktu, że atakujący przejął kontrolę nad kontem Microsoft Teams. Z jednego przejętego konta może on następnie infekować kolejne konta należące od organizacji – aż przejmie kontrolę nad nimi wszystkimi.
Aktualizacja. Microsoft wydał już stosowną poprawkę dla Microsoft Teams. Dodatkowo 20 kwietnia firma wypuściła aktualizację, która zmniejsza ryzyko wystąpienia podobnych błędów w przyszłości.
