研究發現發送GIF文件消息即可黑入Microsoft Teams賬號
安全廠商發現Microsoft Teams DNS組態漏洞,讓攻擊者發送一則帶有GIF圖片文件的惡意消息,對方只要讀取該消息就會遭黑,甚至可接管賬號,還會像蠕蟲一樣自動傳播。
PC機和網頁版Teams都受此攻擊手法影響。CyberArk於二月間發現這項漏洞後通報微軟,並等微軟完成修補後公布漏洞細節,以及攻擊手法。
這項攻擊的關鍵是取得2個關鍵的驗證符記(token)。這2個符記分別是authtoken及skypetoken。前者負責驗證用戶,以便於Teams和Skype域名中下載圖片文件,並用於產生skypetoken,後者則是用於驗證處理用戶端調用的伺服器,以能執行讀取或發送消息等行為。微軟的原始設計是希望Teams用戶可以訪問來自SharePoint、Outlook等其他不同服務資源。
不過這個設計卻在本攻擊中被轉作惡意用途。攻擊者只要迫使Teams用戶連上黑客掌握的域名,使用戶瀏覽器試圖從惡意伺服器載入圖片文件,並將cookies(在此為skypetoken_asm cookies)回傳給伺服器,也就能製作skypetoken符記,到此,攻擊者就能接管Teams用戶賬號,竊取賬號下的信息,還能通過Teams API發送調用做任何事,像是發送消息、創建群組、移除用戶或變更許可權等
但在此之前有個問題,即authtoken只能在teams.microsoft.com的子域名下執行,因此,攻擊的準備工作包括刼持Microsoft Teams子域名。研究人員利用二個域名DNS組態不當的漏洞成功劫持,包括aadsync-test.teams.microsoft.com和data-dev.teams.microsoft.com兩個域名,並可以此作為攻擊據點。
CyberArk研究人員還以視頻示範概念驗證攻擊。只要發送一個GIF圖片文件給Teams用戶,對方只要讀取圖片就被黑,讓攻擊者取得所有賬號信息,包括群組對話內容。
PC機和網頁版Teams都受到這項攻擊手法影響。研究人員指出,若是攻擊者對Teams對話沒興趣,也能在公司網路上橫向移動,搜集運營計劃、密碼、重要文件等機密信息。
把交互對象限制在公司員工可降低被黑幾率,但只要一則和外人視頻面試的消息也可能引狼入室。而最恐怖的是,所有被黑的賬戶還會自動將消息傳播給其他Teams用戶,造成像蠕蟲感染一樣的災難。
微軟在3月底接獲CyberArk通報後,已經刪除了2個子域名DNS記錄設置不當的漏洞,解決被黑的問題。此外,微軟也於4月20日發布修補程序,將加入安全功能,防止未來再有類似漏洞發生。
