Microsoft đã vá một lỗ hổng giống như sâu trong nền tảng cộng tác và trò chuyện video tại nơi làm việc của Nhóm có thể cho phép kẻ tấn công chiếm toàn bộ danh sách tài khoản của một tổ chức chỉ bằng cách gửi cho người tham gia một liên kết độc hại đến hình ảnh trông ngây thơ.
Lỗ hổng, ảnh hưởng đến cả phiên bản máy tính để bàn và web của ứng dụng, được phát hiện bởi các nhà nghiên cứu an ninh mạng tại CyberArk. Sau khi phát hiện được tiết lộ có trách nhiệm vào ngày 23 tháng 3, Microsoft đã vá lỗ hổng trong bản cập nhật được phát hành vào ngày 20 tháng 4.
“Ngay cả khi kẻ tấn công không thu thập nhiều thông tin từ tài khoản của Nhóm, họ vẫn có thể sử dụng tài khoản để truy cập trong toàn tổ chức (giống như một con sâu)”, CyberArk Omer Tsarfati nói.
“Cuối cùng, kẻ tấn công có thể truy cập tất cả dữ liệu từ tài khoản Nhóm của tổ chức của bạn – thu thập thông tin bí mật, cuộc họp và thông tin lịch, dữ liệu cạnh tranh, bí mật, mật khẩu, thông tin cá nhân, kế hoạch kinh doanh, v.v.”
Sự phát triển đến khi các phần mềm hội nghị truyền hình như Zoom và Microsoft Teams đang chứng kiến một nhu cầu tăng chưa từng thấy khi các doanh nghiệp, sinh viên và thậm chí là nhân viên chính phủ trên khắp thế giới bị buộc phải làm việc và giao tiếp xã hội tại nhà trong đại dịch coronavirus.
Một lỗ hổng tiếp quản tên miền phụ
Lỗ hổng bắt nguồn từ cách Microsoft Teams xử lý xác thực đến tài nguyên hình ảnh. Mỗi khi ứng dụng được mở, một mã thông báo truy cập, một Mã thông báo web JSON (JWT) được tạo trong quá trình, cho phép người dùng xem hình ảnh được chia sẻ bởi cá nhân hoặc người khác trong một cuộc trò chuyện.
Các nhà nghiên cứu của CyberArk nhận thấy rằng họ có thể có được một cookie (được gọi là “authtoken”) cấp quyền truy cập vào một máy chủ tài nguyên (api.spaces.skype.com) và sử dụng nó để tạo ra “mã thông báo skype” đã nói ở trên chúng không được phép gửi tin nhắn, đọc tin nhắn, tạo nhóm, thêm người dùng mới hoặc xóa người dùng khỏi nhóm, thay đổi quyền trong nhóm thông qua API nhóm.
Đó không phải là tất cả. Vì cookie authtoken được đặt để được gửi đến đội.microsoft.team hoặc bất kỳ tên miền phụ nào của nó, các nhà nghiên cứu đã phát hiện ra hai tên miền phụ (aadsync-test.teams.microsoft.com và data-dev.teams.microsoft.com) để tiếp quản các cuộc tấn công.
“Nếu kẻ tấn công bằng cách nào đó có thể buộc người dùng truy cập vào các tên miền phụ đã bị chiếm, trình duyệt của nạn nhân sẽ gửi cookie này đến máy chủ của kẻ tấn công và kẻ tấn công (sau khi nhận được tự động) có thể tạo mã thông báo skype”, các nhà nghiên cứu tuyên bố . “Sau khi thực hiện tất cả những điều này, kẻ tấn công có thể đánh cắp dữ liệu tài khoản của Đội nạn nhân.”
Bây giờ được trang bị các tên miền phụ bị xâm nhập, kẻ tấn công có thể khai thác lỗ hổng bằng cách chỉ cần gửi một liên kết độc hại, nói GIF, cho một nạn nhân không nghi ngờ hoặc cho tất cả các thành viên của một trò chuyện nhóm. Do đó, khi người nhận mở tin nhắn, trình duyệt sẽ cố gắng tải hình ảnh, nhưng không phải trước khi gửi cookie tự động đến tên miền phụ bị xâm nhập.
Sau đó, diễn viên xấu có thể sử dụng cookie tự động nói này để tạo mã thông báo skype và do đó truy cập tất cả dữ liệu của nạn nhân. Tồi tệ hơn, cuộc tấn công có thể được gắn kết bởi bất kỳ người ngoài nào miễn là tương tác liên quan đến giao diện trò chuyện, chẳng hạn như lời mời tham gia cuộc gọi hội nghị cho một cuộc phỏng vấn việc làm tiềm năng.
“Nạn nhân sẽ không bao giờ biết rằng họ đã bị tấn công, khiến việc khai thác lỗ hổng này trở nên lén lút và nguy hiểm”, các nhà nghiên cứu cho biết.
Hội nghị truyền hình tấn công theo chủ đề của công ty trên sự trỗi dậy
Việc chuyển sang làm việc từ xa trong bối cảnh đại dịch COVID-19 đang diễn ra và nhu cầu về các dịch vụ hội nghị truyền hình ngày càng tăng đã trở thành một chiến thuật sinh lợi cho những kẻ tấn công để đánh cắp thông tin đăng nhập và phân phối phần mềm độc hại.
Nghiên cứu gần đây từ Bằng chứng và An ninh bất thường các chiến dịch kỹ thuật xã hội chưa được khám phá yêu cầu người dùng tham gia cuộc họp Zoom hoặc giải quyết lỗ hổng bảo mật của Cisco WebEx bằng cách nhấp vào các liên kết độc hại được thiết kế để đánh cắp thông tin đăng nhập.
Trước những mối đe dọa mới nổi như vậy, chúng tôi khuyên người dùng nên đề phòng lừa đảo và đảm bảo phần mềm hội nghị truyền hình luôn được cập nhật.
