S jednim GIF-om do podataka korisnika Microsoft Teamsa
Tvrtka CyberArk otkrila je opasnu ranjivost u Microsoftovom kolaboracijskom i komunikacijskom alatu Teams. Radi se o kombinaciji mogućnosti preuzimanja poddomene i uporabe maliciozne GIF datoteke. Na taj način mogu se prikupljati korisnički podaci, a u konačnici prikupiti sve Teams račune unutar neke organizacije. Propust je bio prisutan u web inačici aplikacije, kao i u desktop inačici.
Svaki put kada se Teams aplikacija otvori, generira se novi privremeni token koji se autentificira putem login.microsoftonline.com, a generiraju se i tokeni za druge servise, kao što su SharePoint i Outlook. Za restrikciju dozvola za pristup sadržaju koriste se “authtoken” i “skypetoken_asm” kolačići.
Skype token šalje se na teams.microsoft.com i njegove poddomene, od kojih su dvije ranjive na napade. Kako bi napad uspio, napadač mora nagovoriti žrtvu da posjeti poddomene koje su preuzete, što se postiže slanjem maliciozne poveznice ili GIF-a, a u konačnici napadač dobiva Skype token.
Nakon svega toga, mogu se ukrasti podaci korisnika Teamsa. To je samo dio kompleksnih operacija koje je nužno provesti, što uključuje i generiranje certifikata za spomenute kompromitirane poddomene.
CyberArk je o tom sigurnosnom propustu obavijestio Microsoft 23. ožujka, a isti dan tvrtka iz Redmonda popravila je pogrešno konfigurirane DNS zapise dviju spornih poddomena. Mjesec dana kasnije, točnije 20. travnja, Microsoft je predstavio zakrpu koja će onemogućiti ponovni nastanak takve vrste napada i pripadajućih ranjivosti u budućnosti.
Izvor: https://www.bug.hr/