Взломать учетную запись Microsoft Teams можно было с помощью GIF

В ходе анализа механизма обработки источника изображений в Microsoft Teams специалисты ИБ-компании CyberArk обнаружили , что захватить чужую учетную запись можно с помощью одного лишь GIF-изображения. Представленный исследователями метод позволяет получать доступ сразу к нескольким учетным записям одновременно, а также похищать беседы и потоки задач.

Главным условием для осуществления атаки являлся контроль над поддоменами teams.microsoft.com. Исследователи сообщили об этом Microsoft, и компания исправила проблему.

Для того чтобы убедиться, что пользователь действительно получает предназначенное для него изображение, Microsoft Teams использует для аутентификации два токена –authtoken и skypetoken. Authtoken позволяет пользователю загружать изображения в доменах Teams и Skype и генерирует skypetoken. В свою очередь skypetoken используется для аутентификации на сервере, обрабатывающем запросы действий от клиента, такие как чтение или отправка сообщений.

Имея в своем распоряжении оба токена, злоумышленник может осуществлять вызовы через Teams API и получить полный контроль над учетной записью, в том числе читать/отправлять сообщения, создавать группы, добавлять/удалять пользователей и менять разрешения. Единственный «минус»‌ – authtoken может использоваться только на поддоменах teams.microsoft.com. В ходе исследования экспертам CyberArk удалось захватить поддомены aadsync-test.teams.microsoft.com и data-dev.teams.microsoft.com.

Если злоумышленник сможет каким-то образом заставить жертву посетить взломанные поддомены, ее браузер отправит authtoken на подконтрольный злоумышленнику сервер, и после получения authtoken он сможет создать skypetoken. Проделав все это, злоумышленник сможет похитить данные учетной записи Microsoft Teams жертвы. Для осуществления атаки злоумышленнику придется получить цифровой сертификат для взломанного поддомена, поскольку authtoken имеет флаг безопасности, однако эту проблему легко решить, уверены исследователи.

Атака происходит в фоновом режиме, и жертва даже не догадывается о взломе. По словам исследователей, атаку можно автоматизировать, и она будет распространяться подобно червю.

Microsoft исправила проблему, удалив некорректно сконфигурированные записи DNS, позволявшие скомпрометировать поддомены.

Источник: https://www.securitylab.ru/news/507865.php