Sicherheitsforscher haben einen Fehler in Microsoft Teams entdeckt, der es ihnen ermöglichte, Nachrichten von Benutzerkonten zu stehlen, indem sie ein schädliches GIF-Bild sendeten.
Die Sicherheitsfirma CyberArk demonstrierte den Angriff in einem am Montag veröffentlichten Video.
Die Forscher verwendeten das Internet-Mem "Whale Hello There", um die Sicherheitsanfälligkeit in einer Chat-Sitzung mit einem Zielbenutzer auszulösen.
Der Angriff plünderte dann heimlich jede vom Opfer geschriebene Microsoft Teams-Nachricht.
"Schließlich kann der Angreifer auf alle Daten aus den Teamkonten Ihres Unternehmens zugreifen und vertrauliche Informationen, Besprechungs- und Kalenderinformationen, Wettbewerbsdaten, Geheimnisse, Kennwörter, private Informationen, Geschäftspläne usw.
sammeln", sagte CyberArk in seinem Bericht.
Die Forscher deckten den Fehler auf, als sie untersuchten, wie Microsoft Teams Bilddateien über die Messaging-Plattform am Arbeitsplatz empfängt und sendet.
Wenn Bilddateien freigegeben und gespeichert werden, generiert die Software ein digitales Authentifizierungstoken, um zu bestimmen, welche Benutzer die Bilder sehen können und welche nicht.
Die gleichen Zugriffstoken werden im Browser Ihres Computers als Internet-Cookie gespeichert.
Nur Server in der Domäne teams.microsoft.com sollten in der Lage sein, das Cookie abzurufen, da die Authentifizierungstoken für die Kontosicherheit von entscheidender Bedeutung sind.
CyberArk stellte jedoch fest, dass zwei Subdomains unter "aadsync-test.teams.microsoft.com" und "data-dev.teams.microsoft.com" für eine Übernahme anfällig waren, und öffnete die Tür für einen von Hackern kontrollierten Server, um den Angriff durchzuführen.
"Wenn ein Angreifer einen Benutzer irgendwie zwingen kann, die übernommenen Subdomains zu besuchen, sendet der Browser des Opfers dieses Cookie an den Server des Angreifers", sagte CyberArk.
"Nach all dem kann der Angreifer die Kontodaten der Teams des Opfers stehlen."
Um einen Benutzer zum Besuch der Subdomain zu bewegen, kann das Opfer mithilfe einer Phishing-Nachricht ausgetrickst werden.
CyberArk erkannte jedoch, dass Sie den Angriff auch mithilfe eines GIF neu verpacken können, das automatisch die Subdomain kontaktiert, um das Bild zu laden.
Empfohlen von unseren Redakteuren
"Wenn das Opfer diese Nachricht öffnet, versucht der Browser des Opfers, das Bild zu laden, und sendet dann das Authtoken-Cookie an die gefährdete Subdomain", sagte das Unternehmen.
"Das Opfer wird nie erfahren, dass es angegriffen wurde, was die Ausnutzung dieser Sicherheitsanfälligkeit heimlich und gefährlich macht."
Die gute Nachricht ist, dass Microsoft das Problem am 20.
April behoben hat, einen Monat nachdem CyberArk dem Unternehmen den Fehler gemeldet hatte.
"Obwohl wir in freier Wildbahn keine Anwendung dieser Technik gesehen haben, haben wir Schritte unternommen, um die Sicherheit unserer Kunden zu gewährleisten", sagte Microsoft gegenüber Daxdi.
Das Unternehmen weist auch darauf hin, dass der Angriff mehrere Schritte erfordert, was das Abziehen erschwert.








