Home Posty
Wideo Kampanie
Kapitan Hack
  • Home
  • Posty
  • Wideo
  • Kampanie
O kapitanie
Okiem eksperta
Kliknąć warto

Wybrany post: Przejęcie kont z Microsoft Teams za pomocą GIF-a

28 kwietnia 2020
account
exploit
gif
microsoft
microsoft teams

Praca zdalna zmusza do korzystania z wielu nowych narzędzi, z którymi niektórzy nie mieli wcześniej styczności i nie znają zagrożeń jakie się z tym wiążą. Wspominaliśmy już o odpowiednich zasadach higieny przy pracy zdalnej oraz o zachowaniu standardów bezpieczeństwa w wideo-rozmowach. Teraz chcielibyśmy przyjrzeć się, jak cyberprzestępcy mogą wykorzystać podatności w znanych i najbardziej popularnych narzędziach wykorzystywanych przy zdalnej pracy.
Podatność, którą opiszemy dotyczy aplikacji Microsoft Teams, ale równie dobrze podobne luki mogą zostać wykorzystane w innych popularnych narzędziach.
Na wstępnie należy zaznaczyć, że firma Microsoft załatała podatność kilka dni po jej wykryciu przez firmę CyberArk.

Cały atak polega na przesłaniu poprzez Microsoft Teams spreparowanego pliku GIF do ofiary. Po jego otwarciu (kliknięciu na nim przycisku „Play”) token uwierzytelniający użytkownika w MS Teams wysyłany jest do zdalnego serwera atakującego. Token jest to po prostu plik „cookie” przypisany do konta Microsoft Online, który pozwala na uwierzytelnienie się poprzez przeglądarkę jako inny użytkownik w aplikacji Microsoft Teams.

Aplikacja Teams, przy każdym uruchomieniu tworzy nowy token użytkownika, więc cały atak musi zostać wykonany podczas jednej sesji. Według odkrywców podatności, podczas uwierzytelniania do MS Teams tworzone są dwa pliki „cookie” – „authtoken” oraz „skypetoken_asm”. Ten drugi z nich jest następnie wysyłany na adres teams.microsoft.com oraz dwie jego subdomeny, które niestety okazały się podatne na przejęcie:

  • aadsync-test.teams.microsoft.com
  • data-dev.teams.microsoft.com

Jeśli atakujący jest w stanie w jakiś sposób zmusić użytkownika to odwiedzenia tych domen z poziomu MS Teams, to jeden z tokenów zostaje przesłany na serwer atakującego. Drugi token, atakujący jest w stanie stworzyć samemu mając pierwszy oraz znając ogólnodostępne informacje o koncie użytkownika. Potem może już uwierzytelniać się do aplikacji jako ktoś inny.

To skrót całej ścieżki ataku, która w rzeczywistości jest nieco bardziej skomplikowana. Wymaga bowiem posiadania przez atakującego przygotowującego plik GIF, prawdziwego certyfikatu dla wspomnianych poddomen w celu udowodnienia ich zaufania. Ponieważ domeny okazały się podatne pod względem webowym, to wygenerowanie takich certyfikatów dla zespołu z CyberArk nie było problemem i atak dało się wykonać.

Poniżej przedstawiono infografikę z przebiegiem ataku w organizacji oraz przejmowaniem coraz to bardziej ważnych kont pracowników.

źródło: cyberark.com

Podsumowanie

COVID-19 zmusił wiele firm do przejścia na zdalną pracę w pełnym wymiarze godzin – co doprowadziło do znacznego wzrostu liczby użytkowników korzystających z Teams lub podobnych platform. Aby biznes funkcjonował, firmy zezwalają na korzystanie z czatów wideo, wiadomości błyskawicznych i udostępniania plików poprzez różne platformy.

Nawet jeśli atakujący nie zbierze wiele wrażliwych informacji z konta Teams, może nadal używać tego konta do poruszaniu się po całej organizacji i przeglądania innych konwersacji. Po za tym cała podatność pozwala na zdobywanie tokenów do coraz bardziej ważnych kont, zbierając z nich informacje o spotkaniach i kalendarzach, dane dotyczące konkurencji, tajemnice biznesowe, hasła, informacje prywatne, biznesplany itp.

Podatność może być jeszcze bardziej niepokojąca. Atakujący mogą również wysłać fałszywe informacje do pracowników, podszywając się pod kierownictwo firmy, prowadząc do strat finansowych, zamieszania, bezpośredniego wycieku danych i innych. Aż strach pomyśleć, co mogłoby się stać, gdyby atakującemu udało się wykorzystać tę lukę w rozległej organizacji. Warto traktować platformy do komunikacji jako aplikacje zawierające najbardziej istotne dane, które po trafieniu w niepowołane ręce mogą przynieść tragiczne skutki.

Podziel się z innymi tym artykułem!

Najnowsze posty

  • „Blue Screen of Death” nie będzie już niebieski!
    cybernews kapitanhack microsoft windows

    Epokowa zmiana w Windowsie! „Blue Screen of Death” nie będzie już niebieski!

    Czytaj dalej >

  • apple clickFix MacOs Odyssey Poseidon

    Nowy-stary infostealer na macOS

    Czytaj dalej >

  • Root-level RCE w Cisco ISE: nowe krytyczne luki dające pełną kontrolę bez uwierzytelnienia
    cisco iam ise kapitanhack rce root

    Root-level RCE w Cisco ISE: nowe krytyczne luki dające pełną kontrolę bez uwierzytelnienia

    Czytaj dalej >

  • największy zarejestrowany atak DDoS w historii
    botnet cloudflare DDos mirai RapperBot

    Czy to największy zarejestrowany atak DDoS w historii? 37,4 terabajtów danych w ciągu 45 sekund

    Czytaj dalej >

  • app passwords
    2FA gmail russia usa

    Rosyjska grupa hakerów wykorzystuje hasła Gmail do ominięcia 2FA

    Czytaj dalej >

  • stormshield
    artykułsponsorowany cybernews kapitanhack

    Kapitan Hack idzie do sądu! Sprawdzamy, dlaczego UTM Stormshield to dobre rozwiązanie dla dużej organizacji?

    Czytaj dalej >

  • seopoisoning
    google kapitanhack malvertising poisoning search seo

    Zatrute wyniki wyszukiwania. Jak cyberprzestępcy manipulują Google, by rozprzestrzeniać malware

    Czytaj dalej >

Więcej postów ›

Popularne #hashtagi

Active Directory ai android apple attack backdoor best-practices best practices botnet bug bypass C2 cisco cloud cve cyberbezpieczeństwo cybernews DNS exploit google hack hacking idm iOS kapitanhack killchain linux malware microsoft mimikatz mobile news okiem_eksperta password phishing phone ransomware rce security trojan vulnerability web windows zero-day zeroday

O nas

  • Nota prawna
  • Reklama
  • Kontakt

Bądź na bieżąco

  • Facebook
  • Linkedin
  • Youtube
  • RSS

Przydatne linki

  • O kapitanie
  • Okiem eksperta
  • Kliknąć warto

Kapitan Hack

  • Home
  • Posty
  • Wideo
  • Kampanie

Wszelkie prawa zastrzeżone © 2025

Share

Blogger
Bluesky
Delicious
Digg
Email
Facebook
Facebook messenger
Flipboard
Google
Hacker News
Line
LinkedIn
Mastodon
Mix
Odnoklassniki
PDF
Pinterest
Pocket
Print
Reddit
Renren
Short link
SMS
Skype
Telegram
Tumblr
Twitter
VKontakte
wechat
Weibo
WhatsApp
X
Xing
Yahoo! Mail

Copy short link

Copy link
Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.Zgoda