Łatka zabezpieczająca MS Teams przed kradzieżą konta


Ten tekst przeczytasz w 2 minuty.

Łatka zabezpieczająca MS Teams przed kradzieżą konta

Microsoft naprawił lukę w bezpieczeństwie aplikacji MS Teams. Ochrona tej aplikacji w obecnych czasach jest niezwykle kluczowa. Aplikacja umożliwia bowiem pracownikom danej organizacji komunikowanie się między sobą za pomocą czatu, rozmowy lub wideorozmowy. Powodem powstania łatki jest zwykły plik graficzny w formacie .gif, którego obejrzenie mogło doprowadzić nawet do kradzieży konta.

Wszystko zaczęło się, gdy część testerów z firmy CyberArk zajmującej się cyberbezpieczeństwem zauważyła pewnie nieprawidłowości w sposobie, w jaki Microsoft przechowuje zdjęcia w aplikacji MS Teams. Odkryli oni, że za pomocą odpowiednio przygotowanego GIF-a można przejąć tokeny uwierzytelniające. Tego typu tokeny wykorzystuje się do zalogowania na konta w aplikacji. Dzięki nim hakerzy mogli wykraść z niego dane, np. treść konwersacji. Atak był skuteczny zarówno w przypadku urządzeń deskopowych, jak i mobilnych. Pozwalał atakującemu na przejęcie kontroli nad kilkoma kontami naraz. Co więcej, użytkownicy aplikacji musieli jedynie wyświetlać złośliwego GIF-a — nie musieli oni odpowiadać na daną wiadomość.

Złośliwy gif w MS Teams

CyberArk informacje o możliwym zagrożeniu przekazała do Microsoft Security Research Center 23 marca 2020 roku. Na czym dokładnie polegał atak? W momencie, gdy użytkownik przeglądał pliki o rozszerzeniu .gif, za pośrednictwem dwóch subdomen, na których hostowane są pliki graficzne aplikacji (aadsync-test.teams.microsoft.com oraz data-dev.teams.microsoft.com), możliwe było przejęcie tokenów uwierzytelniających. Przeglądarka ofiary wysyłała ciasteczko na serwer atakującego, dzięki czemu mógł on za pośrednictwem tokenu Skype przejąć dane atakowanego użytkownika. Użytkownicy mogli również rozprzestrzeniać podatność dalej, tak, jak rozprzestrzenia się wirus-robak. Celem ataku mógł być nie tylko pojedynczy użytkownik, ale również ich grupa.

Microsoft o niebezpieczeństwie poinformował, gdy wprowadził aktualizację z odpowiednią łatką. Mimo iż proces ataku wydaje się skomplikowany, jego przeprowadzenie mogło być proste. Oficjalnie nie odnotowano żadnego przypadku związanego z tym typem ataku. Jednakże ilość osób, która korzysta obecnie z aplikacji, jest bardzo duża — jest to spowodowane panującą pandemią i wykonywaniem pracy z domu. Z drugiej strony, ten typ ataku jest trudny do wykrycia. Zalecam więc zaktualizowanie aplikacji do najnowszej wersji (aktualizacja pojawiła się 20 kwietnia 2020 roku), aby takich ataków uniknąć.

Źródła: www.pcworld.pl, www.bleeingcomputer.com