Especialistas descobriram uma vulnerabilidade que permite comprometer o Microsoft Teams apenas com uma imagem GIF.

A Microsoft corrigiu uma vulnerabilidade wormable no software Microsoft Teams, que permitia que um agente externo remoto assumisse o controlo de todas as contas do Teams apenas enviando um link de uma imagem no chat.

Esta vulnerabilidade impacta as versões desktop e web da aplicação e foi descoberta por investigadores  da CyberArk.

Os investigadores informaram a Microsoft do problema no dia 23 de março, e a Microsoft corrigiu o problema com a atualização lançada no dia 20 de abril.

“Even if an attacker doesn’t gather much information from a Teams’ account, they could still use the account to traverse throughout an organization (just like a worm),” CyberArk’s Omer Tsarfati said.

“Since users wouldn’t have to share the GIF – just see it – to be impacted, vulnerabilities like this have the ability to spread automatically.”

“Eventually, the attacker could access all the data from your organization’s Teams accounts — gathering confidential information, meetings and calendar information, competitive data, secrets, passwords, private information, business plans, etc.”

 

Esta vulnerabilidade é bastante crítica, uma vez que soluções de videoconferência, como o Zoom e o Microsoft Teams, são os canais de comunicação privilegiados escolhidos por empresas, estudantes e até organizações governamentais durante a pandemia do COVID-19.

A falha acontece na maneira como o Microsoft Teams lida com autenticação de image resources. Sempre que a aplicação iniciada, um token de acesso, um JSON Web Token (JWT) é criado durante o processo, permitindo que a vítima visualize imagens partilhadas pelo “hacker” ou outros participantes numa determinada conversa.

 

Os investigadores da CyberArk descobriram que era possívelutilizar um cookie (chamado “authtoken”) que concedia acesso a um servidor de recursos (api.spaces.skype.com) e usaram-no para criar o “token do skype” mencionado acima, permitindo assim obter permissões ilimitadas para enviar mensagens, ler mensagens, criar grupos, adicionar novos utilizadores, remover utilizadores de grupos, alterar permissões de grupos por meio da API do Teams, etc.

Isso isto não é tudo. Como o cookie authtoken está definido para ser enviado para o domain teams.microsoft.team ou qualquer um de seus subdomínios, os investigadores descobriram dois subdomínios (aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com) vulneráveis a ataques takeover.

“If an attacker can somehow force a user to visit the subdomains that have been taken over, the victim’s browser will send this cookie to the attacker’s server, and the attacker (after receiving the authtoken) can create a skype token,” the researchers stated. “After doing all of this, the attacker can steal the victim’s Team’s account data.”

 

Utilizando os subdomínios comprometidos, um agente malicioso pode explorar a falha apenas enviando um link malicioso com uma image GIF para uma vítima ou para todos os membros de uma conversa.

Quando os destinatários abrem a mensagem, o navegador tenta carregar a imagem, mas antes, envia os cookies de autenticação para o subdomínio comprometido automaticamente.

 

Depois disso, o ator malicioso obtem o cookie de autenticação automática das vítimas, e pode usá-los para criar tokens do skype e, portanto, aceder a todos os detalhes da vítima.

Este ataque pode ser explorado por qualquer agente malicioso externo e comprometer qualquer utilizador, desde que exista uma conversa entre ambos, um convite para uma meeting, ou até uma possível entrevista de emprego via Microsoft Teams.

 

Mais detalhes aqui.