轉自thehackernews,作者Ravie Lakshmanan,藍色摩卡譯,合作站點轉載請註明原文譯者和出處為超級盾!
微軟(Microsoft)在其團隊的工作場所視頻聊天和協作平臺上修補了一個類似蠕蟲的漏洞,攻擊者通過發給受害者一個看似無害的圖像,結果卻是惡意連結,進而黑進一個團隊全部帳戶。
這一影響桌面版和網絡版應用程式的漏洞是由CyberArk的網絡安全研究人員發現的。在3月23日負責任地披露了調查結果之後,微軟在4月20日發布的更新中修補了這一漏洞。
「即使攻擊者沒有從一個團隊的帳戶中收集到很多信息,他們仍然可以使用被黑的帳戶來竊取整個組織的信息(和蠕蟲病毒一個性質),」CyberArk的奧馬爾·特薩爾法蒂(Omer Tsarfati)說。
「最終,攻擊者可以訪問您組織的團隊帳戶的所有數據——收集機密信息、會議信息、競爭數據、秘密、密碼、私人信息、商業計劃等。」
與此同時,Zoom和微軟團隊等視頻會議軟體的需求也出現了前所未有的激增,因為在冠狀病毒大流行期間,世界各地的企業、學生、甚至政府僱員都被迫在家裡工作和社交。
子域接管漏洞
這個缺陷源於微軟團隊處理映像資源認證的方式。每次打開應用程式時,都會創建一個訪問令牌、一個JSON Web令牌(JWT),允許用戶查看對話中個人或其他人共享的圖像。
微軟團隊的弱點
CyberArk研究人員發現,可以得到一個cookie(稱為「authtoken」)授予訪問資源伺服器(api.spaces.skype.com),並使用它來創建上述「skype牌」,使它們不受限制權限發送消息和創建組,控制添加用戶刪除用戶功能,改變權限組API。
這還不是全部。因為authtoken cookie被設置為發送到teams.microsoft。研究人員表示,他們發現了兩個容易受到收購攻擊的子域名(aadsync-test.teams.microsoft.com和data-dev.teams.microsoft.com)。
研究人員表示:「如果攻擊者能夠以某種方式強迫用戶訪問已被接管的子域,受害者的瀏覽器將把這個cookie發送到攻擊者的伺服器,
而攻擊者(在收到authtoken之後)可以創建一個skype令牌。」「在做了所有這些之後,攻擊者可以竊取受害者團隊的帳戶數據。」
現在有了受攻擊的子域,攻擊者可以通過發送一個惡意連結(比如GIF)給不知情的受害者或群聊的所有成員來利用這個漏洞。因此,當收件人打開郵件時,瀏覽器將嘗試加載圖像,但這之前受感染子域authtoken cookie已經被獲得。
然後,被入侵的帳戶會被濫用這個authtoken cookie,創建一個skype令牌,從而訪問所有受害者的數據。更糟糕的是,任何局外人都可以發起攻擊,只要互動設計一個聊天界面,比如邀請參加一個潛在工作面試的電話會議。
研究人員說:「受害者永遠不會知道他們被攻擊了,這使得利用這一弱點變得隱秘和危險。」
以視頻會議為主題的公司攻擊正在上升
隨著COVID-19的流行和對視頻會議服務需求的增加,遠程工作已經成為攻擊者盜取證書和分發惡意軟體的一種有利可圖的策略。
來自Proofpoint和Abnormal Security的最新研究發現,社交工程活動要求用戶參加Zoom會議,或通過點擊旨在竊取登錄憑證的惡意連結來解決Cisco WebEx的安全漏洞。
面對這些新出現的威脅,建議用戶小心網絡釣魚詐騙,並確保視頻會議軟體是最新的。
聲明:我們尊重原創者版權,除確實無法確認作者外,均會註明作者和來源。轉載文章僅供個人學習研究,同時向原創作者表示感謝,若涉及版權問題,請及時聯繫小編刪除
精彩在後面
截至到目前,超級盾成功抵禦史上最大2.47T黑客DDoS攻擊,
超級盾具有無限防禦DDoS、100%防CC的優勢