اكتشف الخبراء طريقة للاستيلاء على حسابات Microsoft Teams عن طريق إرسال صورة GIF عادية إلى المستلمين فقط ، وهي تعمل مع كل من إصدارات Team لسطح المكتب والويب.
عالجت Microsoft ثغرة أمنية في منصة محادثات الفيديو الخاصه بها Microsoft Teams والتي كان من الممكن أن تسمح للمهاجمين بالاستيلاء على حسابات الفريق عن طريق إرسال صورة GIF تبدو صوره سليمه على ما يبدو ولكنها غير ذلك.
تم اكتشاف الثغرة الأمنية من قبل باحثين من CyberArk ، وهي تؤثر على كل من إصدارات سطح المكتب والويب للبرنامج. أبلغ الباحثون المشكلة إلى Microsoft في 23 مارس ، وتناولها عملاق تكنولوجيا المعلومات في تحديث صدر في 20 أبريل.
"وجدنا أنه من خلال الاستفادة من ثغرة الاستحواذ على نطاق فرعي في Microsoft Teams ، كان بإمكان المهاجمين استخدام ملف GIF ضار لاستخراج بيانات المستخدم واستلام قائمة حسابات Teams الكاملة للمؤسسة في نهاية المطاف".
"نظرًا لأن المستخدمين لن يضطروا إلى مشاركة ملف GIF - لمجرد رؤيته - حتى يتأثروا ، فإن الثغرات الأمنية مثل هذه لديها القدرة على الانتشار تلقائيًا".
المشكلة حاسمة لأن حلول مؤتمرات الفيديو مثل Zoom و Microsoft Teams هي قنوات الاتصال المتميزة التي تختارها الشركات والطلاب وحتى المنظمات الحكومية خلال جائحة COVID-19.
تفاصيل تقنية :
يكمن الخلل في الطريقة التي تتعامل بها Microsoft Teams مع المصادقة مع موارد الصور. عند فتح التطبيق ، يقوم بإنشاء رمز وصول ، رمز JSON Web Token (JWT) ، والذي يسمح للمستخدم بعرض الصور التي شاركها الفرد أو الآخرون في محادثة.
للسماح للمستلمين بالحصول على الصورة المخصصة لهم ، يستخدم التطبيق رمزين مميزين للمصادقة: "authtoken" و "skypetoken".
يتم استخدام الرمز المميز "authtoken" لمصادقة المستخدمين لتحميل الصور في المجالات عبر Teams و Skype ، كما أنه ينشئ الرمز المميز "skypetoken" ، والذي يتم استخدامه للمصادقة على خادم يتعامل مع إجراء العميل ، مثل قراءة الرسائل.
يمكن للمهاجم الذي يمتلك كلا الرمزين المميزين إجراء مكالمات من خلال Teams API ويمكنه بهذا الاستيلاء على حساب الضحيه. يمكنه قراءة / إرسال الرسائل وإضافة مستخدمين أو إزالتهم وتغيير الأذونات وإنشاء مجموعات ،
أشار الخبراء إلى أنه يمكن استخدام "authtoken" فقط مع مجال فرعي ضمن "teams.microsoft.com" ، ولكن اكتشف الباحثون نطاقين فرعيين (aadsync-test.teams.microsoft.com و data-dev.teams.microsoft.com ) التي كانت عرضة لاستيلاء النطاق الفرعي.
"إذا تمكن المهاجم من إجبار المستخدم إلى حد ما على زيارة النطاقات الفرعية التي تم الاستيلاء عليها ، فسيرسل متصفح الضحية ملف تعريف الارتباط هذا إلى خادم المهاجم ويمكن للمهاجم (بعد استلام كلمة المرور التلقائية) إنشاء رمز سكايب مميز. بعد القيام بكل هذا ، يمكن للمهاجم سرقة بيانات حساب Teams الضحية. "تواصل المنصب.
يمكن للمهاجم استغلال الخلل بمجرد إرسال رابط ضار (أي صورة GIF) إلى الضحية ، أو إلى جميع أعضاء الدردشة الجماعية. ثم عندما يفتح المستلمون الرسالة ، يرسل المتصفح ملفات تعريف الارتباط التي تم فتحها تلقائيًا إلى النطاق الفرعي المخترق في محاولات تحميل المورد (أي صورة GIF).
"لن تعرف الضحية أبدًا أنها تعرضت للهجوم ، مما يجعل استغلال هذه الثغرة خفيًا وخطيرًا" ، يتابع التحليل. "في حين أن اقتصار مؤسستك على الاتصال الداخلي سيقلل من تعرضك ، وجدنا أنه لا يزال من الممكن التواصل مع شخص خارجي وأن أي تفاعل يتضمن واجهة دردشة مع شخص خارجي يكفي للتأثر بهذه الثغرة الأمنية. من الأمثلة الجيدة على ذلك دعوة إلى مؤتمر عبر الهاتف مع شخص خارجي لمقابلة عمل. "
وأوضح باحثو CyberArk أن الهجوم يمكن أن ينتشر تلقائيًا بطريقة تشبه الديدان ، مما يعرض جميع الحسابات في المنظمة المستهدفة للخطر.
ويخلص CyberArk إلى أنه "حتى لو لم يقم المهاجم بجمع الكثير من المعلومات من حساب Teams ، فلا يزال بإمكانهم استخدام الحساب للتنقل عبر المؤسسة (مثل الدودة تمامًا)".
"في نهاية المطاف ، يمكن للمهاجم الوصول إلى جميع البيانات من حسابات Teams في مؤسستك - جمع المعلومات السرية والاجتماعات ومعلومات التقويم والبيانات التنافسية والأسرار وكلمات المرور والمعلومات الخاصة وخطط الأعمال وما إلى ذلك."
ليست هناك تعليقات:
إرسال تعليق