Badacz zabezpieczeń, Oskars Vegeris, opublikował dokumentację dotyczącą robaka, między-platformowej luki w Microsoft Teams, która może przyczynić się do trudnych do wykrycia, złośliwych ataków hakerów.
Vegeris jest inżynierem ds. Bezpieczeństwa w Evolution Gaming. Ostrzegł, że nowa luka w zabezpieczeniach skryptów krzyżowych (XSS) w domenie „teams.microsoft.com” może zostać wykorzystana do wywołania błędu zdalnego wykonania kodu w aplikacji Microsoft Teams.
Microsoft Teams i nowa luka bezpieczeństwa
Microsoft Teams to zastrzeżona platforma komunikacji biznesowej, która zapewnia użytkownikom czat, przechowywanie i udostępnianie plików, integrację z aplikacjami i funkcje wideokonferencji. Posiada około 115 milionów aktywnych użytkowników dziennie. Konkuruje z takimi rozwiązaniami jak Slack i Zoom i jest szeroko wdrażany jako część rodziny Microsoft Office 365.
Zgodnie z zaleceniem opublikowanym przez Vegeris, osoba atakująca musi po prostu wysłać specjalnie spreparowaną wiadomość do dowolnego użytkownika lub kanału Teams, aby uruchomić udany exploit, który działa dyskretnie w tle. Demo ataku możecie zobaczyć na filmiku tutaj.
„Zdalne wykonanie kodu osiągnięto w aplikacjach komputerowych na wszystkich obsługiwanych platformach (Windows, macOS, Linux). Wykonywanie kodu zapewnia atakującym pełny dostęp do urządzeń ofiar i wewnętrznych sieci firmowych za pośrednictwem tych urządzeń” – ostrzegł Vegeris.
Istotnym faktem jest również to, że osoba atakująca może wykorzystać lukę XSS w celu uzyskania tokenów autoryzacji SSO dla Teams lub innych usług Microsoft lub uzyskania dostępu do poufnych rozmów i plików z usługi komunikacyjnej.
Co gorsza, luka ta jest szkodliwa, bo umożliwia hakerowi automatyczne wysyłanie ładunku exploita do innych użytkowników, również bez interakcji. Pomyślne wykorzystanie błędu może potencjalnie dać dostęp do kluczy prywatnych i danych osobowych poza Teams, prawdopodobnie powodując wyciek informacji z sieci wewnętrznej i umożliwiając adwersarzom przygotowanie się do ataków phishingowych.
Zdalne wykonanie kodu, jak wyjaśnia Vegeris, można osiągnąć tylko wtedy, gdy XSS w witrynie teams.microsoft.com (w funkcji „wzmianki” użytkownika) jest powiązany z nowatorskim, wieloplatformowym exploitem dla klientów stacjonarnych Teams.
Co dalej z wykrytym problemem?
Badacz bezpieczeństwa, który przedstawia szczegóły techniczne luki i demonstruje, w jaki sposób można ją wykorzystać, twierdzi, że Microsoft zbagatelizował wagę luki, przypisując „ważną” ocenę z ryzykiem „podszywania się”.
Powiedział, że Microsoft wyprowadził klientów stacjonarnych Teams „poza zakres” i powiedział badaczowi, że nie wyda numeru CVE dla luki, ponieważ luki w Microsoft Teams są naprawiane poprzez automatyczne aktualizacje.
Produkty, których dotyczy problem, to Microsoft Teams dla:
- MacOS w wersji 1.3.00.23764,
- Windows w wersji 1.3.00.21759,
- i Linux w wersji 1.3.00.16851.
Firma Microsoft już zajęła się tą luką i jak stwierdził jej rzecznik: „Rozwiązaliśmy ten problem dzięki aktualizacji z października, która automatycznie wdrażała i chroniła klientów”