Platforma Microsoft Teams a pus recent în pericol conturile utilizatorilor

Microsoft Teams.

Microsoft a remediat o vulnerabilitate de securitate al platformei Microsoft Teams, ce putea fi exploatată pentru a prelua controlul asupra conturilor de utilizator.

Prin compromiterea unui cont, atacatorii ar fi putut, în cele din urmă, să se infiltreze în organizaţie şi să colecteze date din conturile angajaţilor, de la informaţii confidenţiale şi parole, până la planuri de afaceri, potrivit cercetătorilor efectuate de CyberArk.

Din cauza pandemiei COVID-19, companiile s-au văzut nevoite să treacă la un sistem de lucru remote, iar departamentele IT încă se confruntă cu o reală provocare pentru a securiza acest mediu de lucru. Găsirea unor noi mijloace de comunicare a fost poate una dintre cele mai mari probleme, determinând, astfel, un număr mare de angajaţi să utilizeze platforme precum Zoom, Microsoft Teams sau Slack. Adoptarea unor astfel de tehnologii a deschis noi portiţe pentru infractorii cibernetici.

CyberArk a mai descris un posibil scenariu de atac: „Am descoperit că, prin abuzul unei vulnerabilităţi de preluare a subdomeniului în Microsoft Teams, atacatorii ar fi putut folosi un GIF infectat pentru a obţine datele utilizatorilor şi, în final, să preia controlul asupra întregii liste de conturi din Teams”. Subdomeniile vulnerabile: aadsync-test.teams.microsoft.com şi data-dev.teams.microsoft.com.

„Dacă un atacator poate forţa utilizatorul să acceseze subdomeniile care au fost acaparate în atac, browserul victimei va trimite acest cookie către serverul atacatorului, iar atacatorul (după ce a primit un token de autentificare) poate crea un token skype. După încheierea acestui întreg proces, atacatorul putea obţine datele contului Teams al victimei”, mai scrie în articol.

Exploatarea acestei vulnerabilităţi ar fi implicat trimiterea unui fişier GIF infectat către victimă. În mod îngrijorător, simpla vizualizare a GIF-ului ar fi fost suficientă ca atacul să fie de succes, iar acesta se putea răspândi automat într-o manieră asemănătoare viermilor.  Această lacună ar fi fost prezentă atât în ​​versiunile desktop, cât şi în versiunile de browser web ale platformei Teams.

CyberArk a anunţat Microsoft în legătură cu problemele descoperite pe data de 23 martie, iar compania nu a ezitat să acţioneze rapid şi să remedieze problemele la nivel de DNS (Domain Name System) chiar în aceeaşi zi. La 20 aprilie, Microsoft a emis un patch pentru platforma sa Teams.