0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Взломать учётные записи Microsoft Teams можно было с помощью GIF-файла

Учетную запись Microsoft Teams можно было скомпрометировать с помощью файла GIF

Xakep #252. Чемоданчик хакера

Специалисты компании CyberArk обнаружили уязвимость, которая позволяла скомпрометировать учетную запись платформы Microsoft Teams, предназначенной для общения и совместной работы. Для этого злоумышленникам было нужно отправить ссылку или гифку сотруднику целевой организации.

Хотя послать вредоносную ссылку или GIF было несложно, подготовительные этапы данной атаки включали несколько шагов, которые вряд ли удалось бы осуществить неискушенным хакерам.

«COVID-19 вынудил многие компании перейти на удаленную работу, что привело к значительному росту количества пользователей, использующих Microsoft Teams или другие подобные платформы. Даже если злоумышленник не получит много информации из учетной записи Microsoft Teams, он сможет использовать эту учетную запись для перемещения по всей сети организации», — отмечают специалисты.

Обнаруженная уязвимость была связана с тем, как десктопная и браузерая версии Microsoft Teams работает с аутентификационными токенами и ресурсами изображений. По сути, атакующий мог создать ссылку или GIF-файл, который при обработке в Microsoft Teams передавали токен пользователя на подконтрольный злоумышленнику сервер. И если при использовании ссылки жертва должна была кликнуть по ней, то в случае с файлом GIF жертва должна была просто просмотреть гифку в чате Microsoft Teams, после чего токен отправлялся хакеру. То есть взаимодействия с пользователем атака не требовала.

Вредоносный GIF в чате

Завладев аутентификационным токеном, злоумышленник получал возможность использовать его для угона учетной записи жертвы, используя интерфейсы API. Данный метод подходил для чтения сообщений пользователя в Microsoft Teams, отправки сообщений от имени жертвы, создания групп, добавления или удаления пользователей из групп, а также изменения разрешений группы.

Хуже того, атаку можно было полностью автоматизировать, из-за чего проблема могла распространиться по организации, как червь, используя скомпрометированные учетные записи для рассылки вредоносного файла GIF другим пользователям Microsoft Teams. Таким образом атакующий мог достать потенциально конфиденциальную информацию, включая пароли, данные собраний и календаря, а также бизнес-планы.

«Что еще более тревожно, эту уязвимость также можно было использовать для отправки ложной информации сотрудникам (выдавая себя за одного из руководителей компании), что могло повлечь за собой финансовый ущерб, путаницу, прямые утечки данных и так далее», — пишут исследователи CyberArk.

Так, исследователи описывают простые примеры применения уязвимости: злоумышленник использует взломанную учетную запись для запроса сброса пароля у ИТ-отдела организации. Или злоумышленник связывается с генеральным директором, используя взломанный аккаунт другого руководителя, и запрашивает конфиденциальную финансовую информацию. Таким же образом атакующий может попытаться убедить руководство, например, установить на свои машины малварь.

Говоря об упомянутых выше ограничениях, нужно сказать, что когда жертва видит вредоносный файл GIF, ее токен доступа может быть отправлен только на поддомен teams.microsoft.com, а значит, злоумышленнику нужно каким-то образом скомпрометировать такой поддомен.

Напомню, что недавние предупреждения ИБ-экспертов гласили (1, 2) , что сотни легитимных поддоменов Microsoft, могут быть захвачены хакерами и использованы для фишинга, доставки малвари и разного рода мошенничества. Однако в случае атаки на Microsoft Teams злоумышленнику потребуется найти именно поддомены teams.microsoft.com. Исследователи CyberArk признают, что это непростая задача, но считают, что злоумышленникам с нужными ресурсами и методами это по плечу. Сами эксперты обнаружили два поддомена, которые можно было использовать для атак: aadsync-test.teams.microsoft.com и data-dev.teams.microsoft.com.

Схема атаки

Также, возвращаясь к ограничениям, нужно упомянуть, что для начала атаки злоумышленнику необходимо получить доступ к учетной записи Microsoft Teams, с которой он сможет начать рассылать вредоносные ссылки или файлы GIF. То есть понадобится предварительно скомпрометировать одного из сотрудников компании иным образом. Однако исследователи уверены, что атака все же может быть запущена извне целевой организации. Например, злоумышленник может убедить жертву, пригласить его в Microsoft Teams для проведения собеседования.

Microsoft сообщает, что обнаруженная специалистами уязвимость уже устранена, а обнаруженные CyberArk поддомены более не могут быть использованы злоумышленниками. Также в компании сообщили, что не нашли никаких признаков эксплуатации этой ошибки настоящими хакерами.

Взломать учетную запись Microsoft Teams можно было с помощью GIF

Microsoft исправила опасную уязвимость, позволявшую получать доступ к чужим учетным записям Microsoft Teams.

В ходе анализа механизма обработки источника изображений в Microsoft Teams специалисты ИБ-компании CyberArk обнаружили , что захватить чужую учетную запись можно с помощью одного лишь GIF-изображения. Представленный исследователями метод позволяет получать доступ сразу к нескольким учетным записям одновременно, а также похищать беседы и потоки задач.

Главным условием для осуществления атаки являлся контроль над поддоменами teams.microsoft.com. Исследователи сообщили об этом Microsoft, и компания исправила проблему.

Для того чтобы убедиться, что пользователь действительно получает предназначенное для него изображение, Microsoft Teams использует для аутентификации два токена –authtoken и skypetoken. Authtoken позволяет пользователю загружать изображения в доменах Teams и Skype и генерирует skypetoken. В свою очередь skypetoken используется для аутентификации на сервере, обрабатывающем запросы действий от клиента, такие как чтение или отправка сообщений.

Читать еще:  Games Weekly. 01-06 апреля 2003

Имея в своем распоряжении оба токена, злоумышленник может осуществлять вызовы через Teams API и получить полный контроль над учетной записью, в том числе читать/отправлять сообщения, создавать группы, добавлять/удалять пользователей и менять разрешения. Единственный «минус»‌ – authtoken может использоваться только на поддоменах teams.microsoft.com. В ходе исследования экспертам CyberArk удалось захватить поддомены aadsync-test.teams.microsoft.com и data-dev.teams.microsoft.com.

Если злоумышленник сможет каким-то образом заставить жертву посетить взломанные поддомены, ее браузер отправит authtoken на подконтрольный злоумышленнику сервер, и после получения authtoken он сможет создать skypetoken. Проделав все это, злоумышленник сможет похитить данные учетной записи Microsoft Teams жертвы. Для осуществления атаки злоумышленнику придется получить цифровой сертификат для взломанного поддомена, поскольку authtoken имеет флаг безопасности, однако эту проблему легко решить, уверены исследователи.

Атака происходит в фоновом режиме, и жертва даже не догадывается о взломе. По словам исследователей, атаку можно автоматизировать, и она будет распространяться подобно червю.

Microsoft исправила проблему, удалив некорректно сконфигурированные записи DNS, позволявшие скомпрометировать поддомены.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Аккаунты Microsoft Teams можно было взломать с помощью .GIF-файла

Microsoft устранила проблему безопасности сервиса Microsoft Teams, которую можно было использовать в цепочке атак для получения контроля над аккаунтами пользователей. Потенциальным злоумышленникам в процессе требовался файл в формате .GIF.

Об уязвимости сообщили исследователи из компании CyberArk. По их словам, вредоносный .GIF-файл можно использовать для сбора пользовательских данных и получения доступа ко всем аккаунтам Teams в организации.

Специалисты подчеркнули, что проблемы безопасности затрагивают как десктопную, так и веб-версию корпоративной платформы от Microsoft.

Напомним, что база пользователей Microsoft Teams сегодня постоянно растёт из-за пандемии новой коронавирусной инфекции COVID-19 — организации вынуждены переводить сотрудников на дистанционную работу.

Команда CyberArk изучила корпоративную платформу и выявила интересную особенность: каждый раз, когда пользователь запускал приложение, платформа Teams создавала новый временный токен доступа, аутентифицированный через login.microsoftonline.com. Также генерировались и другие токены для доступа к поддерживаемым сервисам вроде SharePoint и Outlook.

Два файла cookies использовались для ограничения доступа к контенту — «authtoken» и «skypetoken_asm». Токен Skype отправлялся на teams.microsoft.com и его поддомены. Как обнаружили эксперты, два таких поддомена были уязвимы.

«Если атакующий сможет заставить пользователя посетить уязвимый перехваченный поддомен, браузер жертвы отошлёт cookies на сервер злоумышленника (после получения токена аутентификации). В этом случае атакующий может создать токен Skype», — объясняют специалисты.

После вышеописанных действий киберпреступник получал возможность выкрасть данные аккаунта жертвы. CyberArk опубликовала PoC-код, демонстрирующий, как потенциальные атакующие могут использовать уязвимость.

Читайте также

Новую реальность можно создать с использованием СКРД Diamond ACS – этот продукт позволяет с одного рабочего места управлять Аккордами-АМДЗ (СДЗ уровня платы расширения) и Аккордами-MKT (СДЗ уровня BIOS).

Системы, построенные единообразно, состоящие из однотипных СВТ, одинаково защищенных, постепенно переходят из жизни в сказки, а управлять системами через «единое окно» хочется все больше.

Спрос рождает предложение даже в самых сложных сегментах действительности, и вот, вышла новая версия средства контроля и разграничения доступа (СКРД) Diamond ACS, в которой реализована глубокая интеграция с СДЗ семейства Аккорд.

Результатом интеграции стала возможность с одного рабочего места управлять всеми базовыми функциями Аккордов на подконтрольных объектах (то есть на тех СВТ, которыми управляет Diamond ACS), причем независимо от того, Аккорды-АМДЗ или Аккорды-MKT установлены на этих подконтрольных объектах. На любой из рабочих станций теперь можно удаленно заводить и редактировать пользователей в СДЗ, устанавливать или менять им идентификаторы и пароли, блокировать, удалять, просматривать данные о них, а также журналы событий, и, что крайне важно, управлять контролем целостности.

Управление контролем целостности через Diamond ACS включает в себя:

  1. Настройку и просмотр списков контроля целостности в Аккордах (важно иметь в виду, что списки, созданные локально, при использовании этой возможности будет уже нельзя применять, они будут сбрасываться, так как приоритетны настройки, заданные централизованно).
  2. Пересчет контрольный сумм и запись этого факта в журнал.
  3. Просмотр журнала.

Для наглядности несколько скриншотов. Вот так выглядит просмотр настроек пользователя:

А вот так – просмотр списка пользователей:

Так – создание пользователя и постановка на контроль:

А так – просмотр журналов:

Приобрести продукт можно как одновременно с СДЗ, так и отдельно – в ОКБ САПР или у его партнеров.

Новости Учетную запись Microsoft Teams можно было скомпрометировать с помощью файла GIF

Дополнительные настройки

Патриот проекта

, которая позволяла скомпрометировать учетную запись платформы Microsoft Teams, предназначенной для общения и совместной работы. Для этого злоумышленникам было нужно отправить ссылку или гифку сотруднику целевой организации.

Хотя послать вредоносную ссылку или GIF было несложно, подготовительные этапы данной атаки включали несколько шагов, которые вряд ли удалось бы осуществить неискушенным хакерам.

Обнаруженная уязвимость была связана с тем, как десктопная и браузерая версии Microsoft Teams работает с аутентификационными токенами и ресурсами изображений. По сути, атакующий мог создать ссылку или GIF-файл, который при обработке в Microsoft Teams передавали токен пользователя на подконтрольный злоумышленнику сервер. И если при использовании ссылки жертва должна была кликнуть по ней, то в случае с файлом GIF жертва должна была просто просмотреть гифку в чате Microsoft Teams, после чего токен отправлялся хакеру. То есть взаимодействия с пользователем атака не требовала.

Читать еще:  Блок питания Aerocool KCAS PLUS 600W: самая доступная «бронза»

Вредоносный GIF в чате
Завладев аутентификационным токеном, злоумышленник получал возможность использовать его для угона учетной записи жертвы, используя интерфейсы API. Данный метод подходил для чтения сообщений пользователя в Microsoft Teams, отправки сообщений от имени жертвы, создания групп, добавления или удаления пользователей из групп, а также изменения разрешений группы.

Хуже того, атаку можно было полностью автоматизировать, из-за чего проблема могла распространиться по организации, как червь, используя скомпрометированные учетные записи для рассылки вредоносного файла GIF другим пользователям Microsoft Teams. Таким образом атакующий мог достать потенциально конфиденциальную информацию, включая пароли, данные собраний и календаря, а также бизнес-планы.

Так, исследователи описывают простые примеры применения уязвимости: злоумышленник использует взломанную учетную запись для запроса сброса пароля у ИТ-отдела организации. Или злоумышленник связывается с генеральным директором, используя взломанный аккаунт другого руководителя, и запрашивает конфиденциальную финансовую информацию. Таким же образом атакующий может попытаться убедить руководство, например, установить на свои машины малварь.

Говоря об упомянутых выше ограничениях, нужно сказать, что когда жертва видит вредоносный файл GIF, ее токен доступа может быть отправлен только на поддомен teams.microsoft.com, а значит, злоумышленнику нужно каким-то образом скомпрометировать такой поддомен.

Напомню, что недавние предупреждения ИБ-экспертов гласили , что сотни легитимных поддоменов Microsoft, могут быть захвачены хакерами и использованы для фишинга, доставки малвари и разного рода мошенничества. Однако в случае атаки на Microsoft Teams злоумышленнику потребуется найти именно поддомены teams.microsoft.com. Исследователи CyberArk признают, что это непростая задача, но считают, что злоумышленникам с нужными ресурсами и методами это по плечу. Сами эксперты обнаружили два поддомена, которые можно было использовать для атак: aadsync-test.teams.microsoft.com и data-dev.teams.microsoft.com.

Схема атаки
Также, возвращаясь к ограничениям, нужно упомянуть, что для начала атаки злоумышленнику необходимо получить доступ к учетной записи Microsoft Teams, с которой он сможет начать рассылать вредоносные ссылки или файлы GIF. То есть понадобится предварительно скомпрометировать одного из сотрудников компании иным образом. Однако исследователи уверены, что атака все же может быть запущена извне целевой организации. Например, злоумышленник может убедить жертву, пригласить его в Microsoft Teams для проведения собеседования.

Microsoft сообщает, что обнаруженная специалистами уязвимость уже устранена, а обнаруженные CyberArk поддомены более не могут быть использованы злоумышленниками. Также в компании сообщили, что не нашли никаких признаков эксплуатации этой ошибки настоящими хакерами.

Учетную запись Microsoft Teams можно было скомпрометировать с помощью файла GIF

Специалисты компании CyberArk обнаружили уязвимость, которая позволяла скомпрометировать учетную запись платформы Microsoft Teams, предназначенной для общения и совместной работы. Для этого злоумышленникам было нужно отправить ссылку или гифку сотруднику целевой организации.

Хотя послать вредоносную ссылку или GIF было несложно, подготовительные этапы данной атаки включали несколько шагов, которые вряд ли удалось бы осуществить неискушенным хакерам.

«COVID-19 вынудил многие компании перейти на удаленную работу, что привело к значительному росту количества пользователей, использующих Microsoft Teams или другие подобные платформы. Даже если злоумышленник не получит много информации из учетной записи Microsoft Teams, он сможет использовать эту учетную запись для перемещения по всей сети организации», — отмечают специалисты.

Обнаруженная уязвимость была связана с тем, как десктопная и браузерая версии Microsoft Teams работает с аутентификационными токенами и ресурсами изображений. По сути, атакующий мог создать ссылку или GIF-файл, который при обработке в Microsoft Teams передавали токен пользователя на подконтрольный злоумышленнику сервер. И если при использовании ссылки жертва должна была кликнуть по ней, то в случае с файлом GIF жертва должна была просто просмотреть гифку в чате Microsoft Teams, после чего токен отправлялся хакеру. То есть взаимодействия с пользователем атака не требовала.

Вредоносный GIF в чате

Завладев аутентификационным токеном, злоумышленник получал возможность использовать его для угона учетной записи жертвы, используя интерфейсы API. Данный метод подходил для чтения сообщений пользователя в Microsoft Teams, отправки сообщений от имени жертвы, создания групп, добавления или удаления пользователей из групп, а также изменения разрешений группы.

Хуже того, атаку можно было полностью автоматизировать, из-за чего проблема могла распространиться по организации, как червь, используя скомпрометированные учетные записи для рассылки вредоносного файла GIF другим пользователям Microsoft Teams. Таким образом атакующий мог достать потенциально конфиденциальную информацию, включая пароли, данные собраний и календаря, а также бизнес-планы.

«Что еще более тревожно, эту уязвимость также можно было использовать для отправки ложной информации сотрудникам (выдавая себя за одного из руководителей компании), что могло повлечь за собой финансовый ущерб, путаницу, прямые утечки данных и так далее», — пишут исследователи CyberArk.

Так, исследователи описывают простые примеры применения уязвимости: злоумышленник использует взломанную учетную запись для запроса сброса пароля у ИТ-отдела организации. Или злоумышленник связывается с генеральным директором, используя взломанный аккаунт другого руководителя, и запрашивает конфиденциальную финансовую информацию. Таким же образом атакующий может попытаться убедить руководство, например, установить на свои машины малварь.

Говоря об упомянутых выше ограничениях, нужно сказать, что когда жертва видит вредоносный файл GIF, ее токен доступа может быть отправлен только на поддомен teams.microsoft.com, а значит, злоумышленнику нужно каким-то образом скомпрометировать такой поддомен.

Читать еще:  Лучшие вьюверы. Часть 2

Напомню, что недавние предупреждения ИБ-экспертов гласили (1, 2) , что сотни легитимных поддоменов Microsoft, могут быть захвачены хакерами и использованы для фишинга, доставки малвари и разного рода мошенничества. Однако в случае атаки на Microsoft Teams злоумышленнику потребуется найти именно поддомены teams.microsoft.com. Исследователи CyberArk признают, что это непростая задача, но считают, что злоумышленникам с нужными ресурсами и методами это по плечу. Сами эксперты обнаружили два поддомена, которые можно было использовать для атак: aadsync-test.teams.microsoft.com и data-dev.teams.microsoft.com.

Схема атаки

Также, возвращаясь к ограничениям, нужно упомянуть, что для начала атаки злоумышленнику необходимо получить доступ к учетной записи Microsoft Teams, с которой он сможет начать рассылать вредоносные ссылки или файлы GIF. То есть понадобится предварительно скомпрометировать одного из сотрудников компании иным образом. Однако исследователи уверены, что атака все же может быть запущена извне целевой организации. Например, злоумышленник может убедить жертву, пригласить его в Microsoft Teams для проведения собеседования.

Microsoft сообщает, что обнаруженная специалистами уязвимость уже устранена, а обнаруженные CyberArk поддомены более не могут быть использованы злоумышленниками. Также в компании сообщили, что не нашли никаких признаков эксплуатации этой ошибки настоящими хакерами.

Учетную запись Microsoft Teams можно было скомпрометировать с помощью файла GIF

Специалисты компании CyberArk обнаружили уязвимость, которая позволяла скомпрометировать учетную запись платформы Microsoft Teams, предназначенной для общения и совместной работы. Для этого злоумышленникам было нужно отправить ссылку или гифку сотруднику целевой организации.

Хотя послать вредоносную ссылку или GIF было несложно, подготовительные этапы данной атаки включали несколько шагов, которые вряд ли удалось бы осуществить неискушенным хакерам.

«COVID-19 вынудил многие компании перейти на удаленную работу, что привело к значительному росту количества пользователей, использующих Microsoft Teams или другие подобные платформы. Даже если злоумышленник не получит много информации из учетной записи Microsoft Teams, он сможет использовать эту учетную запись для перемещения по всей сети организации», — отмечают специалисты.

Обнаруженная уязвимость была связана с тем, как десктопная и браузерая версии Microsoft Teams работает с аутентификационными токенами и ресурсами изображений. По сути, атакующий мог создать ссылку или GIF-файл, который при обработке в Microsoft Teams передавали токен пользователя на подконтрольный злоумышленнику сервер. И если при использовании ссылки жертва должна была кликнуть по ней, то в случае с файлом GIF жертва должна была просто просмотреть гифку в чате Microsoft Teams, после чего токен отправлялся хакеру. То есть взаимодействия с пользователем атака не требовала.

Вредоносный GIF в чате

Завладев аутентификационным токеном, злоумышленник получал возможность использовать его для угона учетной записи жертвы, используя интерфейсы API. Данный метод подходил для чтения сообщений пользователя в Microsoft Teams, отправки сообщений от имени жертвы, создания групп, добавления или удаления пользователей из групп, а также изменения разрешений группы.

Хуже того, атаку можно было полностью автоматизировать, из-за чего проблема могла распространиться по организации, как червь, используя скомпрометированные учетные записи для рассылки вредоносного файла GIF другим пользователям Microsoft Teams. Таким образом атакующий мог достать потенциально конфиденциальную информацию, включая пароли, данные собраний и календаря, а также бизнес-планы.

«Что еще более тревожно, эту уязвимость также можно было использовать для отправки ложной информации сотрудникам (выдавая себя за одного из руководителей компании), что могло повлечь за собой финансовый ущерб, путаницу, прямые утечки данных и так далее», — пишут исследователи CyberArk.

Так, исследователи описывают простые примеры применения уязвимости: злоумышленник использует взломанную учетную запись для запроса сброса пароля у ИТ-отдела организации. Или злоумышленник связывается с генеральным директором, используя взломанный аккаунт другого руководителя, и запрашивает конфиденциальную финансовую информацию. Таким же образом атакующий может попытаться убедить руководство, например, установить на свои машины малварь.

Говоря об упомянутых выше ограничениях, нужно сказать, что когда жертва видит вредоносный файл GIF, ее токен доступа может быть отправлен только на поддомен teams.microsoft.com, а значит, злоумышленнику нужно каким-то образом скомпрометировать такой поддомен.

Напомню, что недавние предупреждения ИБ-экспертов гласили (1, 2) , что сотни легитимных поддоменов Microsoft, могут быть захвачены хакерами и использованы для фишинга, доставки малвари и разного рода мошенничества. Однако в случае атаки на Microsoft Teams злоумышленнику потребуется найти именно поддомены teams.microsoft.com. Исследователи CyberArk признают, что это непростая задача, но считают, что злоумышленникам с нужными ресурсами и методами это по плечу. Сами эксперты обнаружили два поддомена, которые можно было использовать для атак: aadsync-test.teams.microsoft.com и data-dev.teams.microsoft.com.

Схема атаки

Также, возвращаясь к ограничениям, нужно упомянуть, что для начала атаки злоумышленнику необходимо получить доступ к учетной записи Microsoft Teams, с которой он сможет начать рассылать вредоносные ссылки или файлы GIF. То есть понадобится предварительно скомпрометировать одного из сотрудников компании иным образом. Однако исследователи уверены, что атака все же может быть запущена извне целевой организации. Например, злоумышленник может убедить жертву, пригласить его в Microsoft Teams для проведения собеседования.

Microsoft сообщает, что обнаруженная специалистами уязвимость уже устранена, а обнаруженные CyberArk поддомены более не могут быть использованы злоумышленниками. Также в компании сообщили, что не нашли никаких признаков эксплуатации этой ошибки настоящими хакерами.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector