安全厂商发现Microsoft Teams DNS组态漏洞,让攻击者发送一则带有GIF图片文件的恶意消息,对方只要读取该消息就会遭黑,甚至可接管账号,还会像蠕虫一样自动传播。
PC机和网页版Teams都受此攻击手法影响。CyberArk于二月间发现这项漏洞后通报微软,并等微软完成修补后公布漏洞细节,以及攻击手法。
这项攻击的关键是取得2个关键的验证符记(token)。这2个符记分别是authtoken及skypetoken。前者负责验证用户,以便于Teams和Skype域名中下载图片文件,并用于产生skypetoken,后者则是用于验证处理用户端调用的服务器,以能执行读取或发送消息等行为。微软的原始设计是希望Teams用户可以访问来自SharePoint、Outlook等其他不同服务资源。
不过这个设计却在本攻击中被转作恶意用途。攻击者只要迫使Teams用户连上黑客掌握的域名,使用户浏览器试图从恶意服务器加载图片文件,并将cookies(在此为skypetoken_asm cookies)回传给服务器,也就能制作skypetoken符记,到此,攻击者就能接管Teams用户账号,窃取账号下的信息,还能通过Teams API发送调用做任何事,像是发送消息、创建群组、移除用户或变更权限等
但在此之前有个问题,即authtoken只能在teams.microsoft.com的子域名下执行,因此,攻击的准备工作包括刼持Microsoft Teams子域名。研究人员利用二个域名DNS组态不当的漏洞成功劫持,包括aadsync-test.teams.microsoft.com和data-dev.teams.microsoft.com两个域名,并可以此作为攻击据点。
CyberArk研究人员还以视频示范概念验证攻击。只要发送一个GIF图片文件给Teams用户,对方只要读取图片就被黑,让攻击者取得所有账号信息,包括群组对话内容。
PC机和网页版Teams都受到这项攻击手法影响。研究人员指出,若是攻击者对Teams对话没兴趣,也能在公司网络上横向移动,搜集运营计划、密码、重要文件等机密信息。
把交互对象限制在公司员工可降低被黑几率,但只要一则和外人视频面试的消息也可能引狼入室。而最恐怖的是,所有被黑的账户还会自动将消息传播给其他Teams用户,造成像蠕虫感染一样的灾难。
微软在3月底接获CyberArk通报后,已经删除了2个子域名DNS记录设置不当的漏洞,解决被黑的问题。此外,微软也于4月20日发布修补程序,将加入安全功能,防止未来再有类似漏洞发生。