S jednim GIF-om do podataka korisnika Microsoft Teamsa
Tvrtka CyberArk otkrila je propust u Microsoftovom popularnom alatu Teams koji napadačima potencijalno omogućuje prikupljanje korisničkih podataka, a propust je konačno riješen zakrpom 20. travnja
Tvrtka CyberArk otkrila je opasnu ranjivost u Microsoftovom kolaboracijskom i komunikacijskom alatu Teams. Radi se kombinaciji mogućnosti preuzimanja poddomene i uporabe maliciozne GIF datoteke. Na taj način mogu se prikupljati korisnički podaci, a u konačnici prikupiti sve Teams račune unutar neke organizacije. Propust je bio prisutan u web inačici aplikacije kao i u desktop inačici.
Svaki put kada se Teams aplikacija otvori generira se novi privremeni token koji se autentificira putem login.microsoftonline.com, a generiraju se i tokeni za druge servise kao što su SharePoint i Outlook. Za restrikciju dozvola za pristup sadržaju koriste se "authtoken" i "skypetoken_asm" kolačići.
Skype token šalje se na teams.microsoft.com i njegove poddomene, od kojih su dvije ranjive na napade kojima je cilj preuzeti poddomene. Kako bi napad uspio napadač mora nagovoriti žrtvu da posjeti poddomene koje su preuzete, što se postiže slanjem maliciozne poveznice ili GIF-a, a u konačnici napadač dobiva Skype token.
Nakon svega toga može se ukrasti podatke korisnika Teamsa. To je samo dio kompleksnih operacija koje je nužno provesti što uključuje i generiranje certifikata za spomenute kompromitirane pododomene.
CyberArk je o tom sigurnosnom propustu obavijestio Microsoft 23. ožujka, a isti dan tvrtka iz Redmonda popravila je pogrešno konfigurirane DNS zapise dviju spornih poddomena. Mjesec dana poslije, točnije 20. travnja, Microsoft je predstavio zakrpu koja će onemogućiti ponovni nastanak takve vrste napada i pripadajućih ranjivosti u budućnosti.
