Microsoft team hackerato con una immagine

di | 28 Aprile 2020
Team Microsoft hacking
il software di videoconferenza di Microsoft a rischio

Microsoft ha patchato una vulnerabilità simile a un worm nella sua video chat e piattaforma di collaborazione di Teams Workplace che avrebbe potuto permettere agli aggressori di assumere l’intero elenco di account Teams di un’organizzazione semplicemente inviando ai partecipanti un collegamento dannoso a un’immagine dall’aspetto innocente.
Il difetto, che colpisce sia le versioni desktop e web dell’applicazione, è stato scoperto dai ricercatori di sicurezza informatica a CyberArk. Dopo che i risultati sono stati divulgati in modo responsabile il 23 marzo, Microsoft patchato la vulnerabilità in un aggiornamento rilasciato il 20 aprile.
“Anche se un utente malintenzionato non raccoglie molte informazioni dall’account di un team, potrebbe comunque utilizzare l’account per attraversare un’organizzazione (proprio come un verme),” ha detto Omer Tsarfati di CyberArk.
“Alla fine, l’utente malintenzionato potrebbe accedere a tutti i dati dagli account Teams dell’organizzazione, ovvero la raccolta di informazioni riservate, riunioni e informazioni del calendario, dati competitivi, password, informazioni private, piani aziendali e così via.”

Lo sviluppo è come software di videoconferenza come lo zoom e Microsoft Teams stanno assistendo a un aumento senza precedenti della domanda come aziende, studenti, e anche dipendenti governativi in tutto il mondo sono costretti a lavorare e socializzare da casa durante la pandemia coronavirus.
Una vulnerabilità di acquisizione di sottodominio
Il difetto deriva dal modo in cui Microsoft Teams gestisce l’autenticazione alle risorse immagine. Ogni volta che l’app viene aperta, durante una conversazione viene creato un token di accesso, un token JSON Web (JWT), che consente all’utente di visualizzare le immagini condivise dall’utente o da altri utenti in una conversazione.

Microsoft teams vulnerability

I ricercatori di CyberArk hanno scoperto che erano in grado di entrare in possesso di un cookie (chiamato “authtoken”) che concede l’accesso a un server di risorse (api.spaces.skype.com) e lo ha utilizzato per creare il suddetto “token skype”, dando loro così illimitata autorizzazioni per inviare messaggi, leggere messaggi, creare gruppi, aggiungere nuovi utenti o rimuovere utenti dai gruppi, modificare le autorizzazioni nei gruppi tramite l’API Teams.
Non è tutto. Dal momento che il cookie authtoken è impostato per essere inviato a teams.microsoft.team o uno qualsiasi dei suoi sottodomini, i ricercatori hanno detto di aver scoperto due sottodomini (aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com) che erano suscettibili di attacchi di acquisizione.

“Se un utente malintenzionato può in qualche modo forzare un utente a visitare i sottodomini che sono stati presi in consegna, il browser della vittima invierà questo cookie al server dell’attaccante, e l’attaccante (dopo aver ricevuto l’authtoken) può creare un token skype,”I ricercatori hanno dichiarato. “Dopo aver fatto tutto questo, l’attaccante può rubare i dati dell’account della squadra della vittima.”

Ora armato con i sottodomini compromessi, un aggressore potrebbe sfruttare la falla semplicemente inviando un link dannoso, dire una GIF, a una vittima ignara, o a tutti i membri di una chat di gruppo. Pertanto, quando i destinatari aprono il messaggio, il browser tenta di caricare l’immagine, ma non prima di inviare i cookie authtoken al sottodominio compromesso.

Il cattivo attore può quindi abusare di questo cookie authtoken per creare un token skype e quindi accedere a tutti i dati della vittima. Peggio ancora, l’attacco può essere montato da qualsiasi estraneo, purché l’interazione coinvolga un’interfaccia di chat, ad esempio un invito a una conferenza telefonica per un potenziale colloquio di lavoro.

“La vittima non saprà mai che sono stati attaccati, rendendo lo sfruttamento di questa vulnerabilità furtiva e pericoloso,”I ricercatori hanno detto.

Attacchi a tema aziendale di videoconferenza in aumento

Il passaggio al lavoro a distanza in mezzo alla pandemia COVID-19 in corso e l’aumento della domanda di servizi di videoconferenza sono diventati una tattica redditizia per gli aggressori di rubare le credenziali e distribuire malware.

Recenti ricerche da Proofpoint e Abnormal Security hanno scoperto campagne di ingegneria sociale chiedendo agli utenti di partecipare a una riunione di zoom o affrontare una vulnerabilità di sicurezza Cisco WebEx facendo clic su link dannosi che sono progettati per rubare le credenziali di accesso.
Di fronte a tali minacce emergenti, si consiglia agli utenti di guardare fuori per le truffe di phishing e garantire software di videoconferenza è mantenuto aggiornato.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *