Przejęcie kont z Microsoft Teams za pomocą GIF-a

• aadsync-test.teams.microsoft.com
• data-dev.teams.microsoft.com

Jeśli atakujący jest w stanie w jakiś sposób zmusić użytkownika to odwiedzenia tych domen z poziomu MS Teams, to jeden z tokenów zostaje przesłany na serwer atakującego. Drugi token, atakujący jest w stanie stworzyć samemu mając pierwszy oraz znając ogólnodostępne informacje o koncie użytkownika. Potem może już uwierzytelniać się do aplikacji jako ktoś inny.

To skrót całej ścieżki ataku, która w rzeczywistości jest nieco bardziej skomplikowana. Wymaga bowiem posiadania przez atakującego przygotowującego plik GIF, prawdziwego certyfikatu dla wspomnianych poddomen w celu udowodnienia ich zaufania. Ponieważ domeny okazały się podatne pod względem webowym, to wygenerowanie takich certyfikatów dla zespołu z CyberArk nie było problemem i atak dało się wykonać.

Poniżej przedstawiono infografikę z przebiegiem ataku w organizacji oraz przejmowaniem coraz to bardziej ważnych kont pracowników.

Podsumowanie

COVID-19 zmusił wiele firm do przejścia na zdalną pracę w pełnym wymiarze godzin – co doprowadziło do znacznego wzrostu liczby użytkowników korzystających z Teams lub podobnych platform. Aby biznes funkcjonował, firmy zezwalają na korzystanie z czatów wideo, wiadomości błyskawicznych i udostępniania plików poprzez różne platformy.

Nawet jeśli atakujący nie zbierze wiele wrażliwych informacji z konta Teams, może nadal używać tego konta do poruszaniu się po całej organizacji i przeglądania innych konwersacji. Po za tym cała podatność pozwala na zdobywanie tokenów do coraz bardziej ważnych kont, zbierając z nich informacje o spotkaniach i kalendarzach, dane dotyczące konkurencji, tajemnice biznesowe, hasła, informacje prywatne, biznesplany itp.

Podatność może być jeszcze bardziej niepokojąca. Atakujący mogą również wysłać fałszywe informacje do pracowników, podszywając się pod kierownictwo firmy, prowadząc do strat finansowych, zamieszania, bezpośredniego wycieku danych i innych. Aż strach pomyśleć, co mogłoby się stać, gdyby atakującemu udało się wykorzystać tę lukę w rozległej organizacji. Warto traktować platformy do komunikacji jako aplikacje zawierające najbardziej istotne dane, które po trafieniu w niepowołane ręce mogą przynieść tragiczne skutki.