Microsoft Teams that a GIF violates the system


Microsoft seems to have managed to fix some security issues at Microsoft Teams που θα μπορούσαν να χρησιμοποιηθούν σε αλυσιδωτές επιθέσεις για την ανάληψη λογαριασμών χρηστών – όλα με τη βοήθεια ενός αρχείου .GIF.

CyberArk researchers they announced σήμερα την ευπάθεια ενός subdomain, που σε συνδυασμό με ένα κακόβουλο αρχείο .GIF, μπορούσε να χρησιμοποιηθεί για “συλλογή δεδομένων ενός χρήστη και τελικά την απόκτηση όλων των λογαριασμών του Teams ενός οργανισμού”.

Η ομάδα ανέφερε ότι τα ζητήματα ασφαλείας επηρεάζουν το Microsoft Teams τόσο στα desktops όσο και στην web έκδοση του προγράμματος.

Η πλατφόρμα επικοινωνιών της Microsoft φαίνεται να έχει αποκτήσει μια διευρυμένη πελατειακή βάση όπως και άλλες ανταγωνιστικές υπηρεσίες (Zoom, GoToMeeting κλπ) λόγω της εμφάνισης του COVID-19. Η εφαρμογή Microsoft Teams χρησιμοποιείται για τη διατήρηση της λειτουργίας των επιχειρήσεων, και ανάμεσα σε άλλα προσφέρει κοινή χρήση εταιρικών δεδομένων. Το γεγονός καθιστά την εφαρμογή ένα πολύ δελεαστικό στόχο για τους hackers.

During the review of the platform by CyberArk, the team found that each time the application is opened, the Teams client creates a new temporary access badge, which is authenticated through the subdomain login.microsoftonline.com. Other tokens are created to access other supported services such as SharePoint and Outlook.

They noticed that two cookies were used to restrict access to the content, "authtoken" and "skypetoken_asm." So they used these files to get a Sskype badge, sending it to teams.microsoft.com and the subdomains it uses. In two of them they were able to perform a subdomain takeover.

"If an attacker can somehow force a user to visit subdomains occupied (by hackers), the victim browser will send a cookie to the attacker's server. "The attacker (after acquiring the authtoken) can create a distinctive Skype", the team states. "After all this, the attacker can steal the data of the victim's accounts."

However, the chain of attack is complicated, as it was necessary for the attacker to issue a certificate for all the violated subdomains subdomains.

Microsoft Teams

Όμως καθώς τα subdomains ήταν ευάλωτα, ξεπεράστηκε αυτή η πρόκληση, στέλνοντας είτε ένα κακόβουλο σύνδεσμο προς το subdomain είτε στέλνοντας ένα αρχείο .GIF σε μια ομάδα. Αυτό θα μπορούσε να οδηγήσει στη δημιουργία του απαιτούμενου διακριτικού που χρειαζόταν για να παραβιάσουν μια συνεδρία του Microsoft Teams ενός θύματος, καθώς η εικόνα μόνο που θα προβληθεί, μπορούσε να επηρεάσει περισσότερα από ένα άτομα κάθε φορά.

CyberArk has released a PoC showing how attacks could have taken place, along with a script that could be used to stop Teams conversations.

The researchers partnered with the Microsoft Security Response Center (MSRC) as part of the Coordinated Vulnerability Disclosure (CVD) program to report their findings.

CyberArk reported the defect on March 23. On the same day, the Redmond-based company corrected the DNS configuration of the two subdomains, and on April 20, an update was released that completely fixes the problem.


Read them Technology News from all over the world, with the validity of iGuRu.gr

Follow us on Google News iGuRu.gr at Google news