Учетную запись Microsoft Teams можно было скомпрометировать с помощью файла GIF - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
28-04-2020, 12:01
Учетную запись Microsoft Teams можно было скомпрометировать с помощью файла GIF - «Новости»
Рейтинг:
Категория: Новости

Специалисты компании CyberArk обнаружили уязвимость, которая позволяла скомпрометировать учетную запись платформы Microsoft Teams, предназначенной для общения и совместной работы. Для этого злоумышленникам было нужно отправить ссылку или гифку сотруднику целевой организации.


Хотя послать вредоносную ссылку или GIF было несложно, подготовительные этапы данной атаки включали несколько шагов, которые вряд ли удалось бы осуществить неискушенным хакерам.


«COVID-19 вынудил многие компании перейти на удаленную работу, что привело к значительному росту количества пользователей, использующих Microsoft Teams или другие подобные платформы. Даже если злоумышленник не получит много информации из учетной записи Microsoft Teams, он сможет использовать эту учетную запись для перемещения по всей сети организации», — отмечают специалисты.


Обнаруженная уязвимость была связана с тем, как десктопная и браузерая версии Microsoft Teams работает с аутентификационными токенами и ресурсами изображений. По сути, атакующий мог создать ссылку или GIF-файл, который при обработке в Microsoft Teams передавали токен пользователя на подконтрольный злоумышленнику сервер. И если при использовании ссылки жертва должна была кликнуть по ней, то в случае с файлом GIF жертва должна была просто просмотреть гифку в чате Microsoft Teams, после чего токен отправлялся хакеру. То есть взаимодействия с пользователем атака не требовала.


Учетную запись Microsoft Teams можно было скомпрометировать с помощью файла GIF - «Новости»
Вредоносный GIF в чате

Завладев аутентификационным токеном, злоумышленник получал возможность использовать его для угона учетной записи жертвы, используя интерфейсы API. Данный метод подходил для чтения сообщений пользователя в Microsoft Teams, отправки сообщений от имени жертвы, создания групп, добавления или удаления пользователей из групп, а также изменения разрешений группы.


Хуже того, атаку можно было полностью автоматизировать, из-за чего проблема могла распространиться по организации, как червь, используя скомпрометированные учетные записи для рассылки вредоносного файла GIF другим пользователям Microsoft Teams. Таким образом атакующий мог достать потенциально конфиденциальную информацию, включая пароли, данные собраний и календаря, а также бизнес-планы.


«Что еще более тревожно, эту уязвимость также можно было использовать для отправки ложной информации сотрудникам (выдавая себя за одного из руководителей компании), что могло повлечь за собой финансовый ущерб, путаницу, прямые утечки данных и так далее», — пишут исследователи CyberArk.


Так, исследователи описывают простые примеры применения уязвимости: злоумышленник использует взломанную учетную запись для запроса сброса пароля у ИТ-отдела организации. Или злоумышленник связывается с генеральным директором, используя взломанный аккаунт другого руководителя, и запрашивает конфиденциальную финансовую информацию. Таким же образом атакующий может попытаться убедить руководство, например, установить на свои машины малварь.


Говоря об упомянутых выше ограничениях, нужно сказать, что когда жертва видит вредоносный файл GIF, ее токен доступа может быть отправлен только на поддомен teams.microsoft.com, а значит, злоумышленнику нужно каким-то образом скомпрометировать такой поддомен.


Напомню, что недавние предупреждения ИБ-экспертов гласили (1, 2) , что сотни легитимных поддоменов Microsoft, могут быть захвачены хакерами и использованы для фишинга, доставки малвари и разного рода мошенничества. Однако в случае атаки на Microsoft Teams злоумышленнику потребуется найти именно поддомены teams.microsoft.com. Исследователи CyberArk признают, что это непростая задача, но считают, что злоумышленникам с нужными ресурсами и методами это по плечу. Сами эксперты обнаружили два поддомена, которые можно было использовать для атак: aadsync-test.teams.microsoft.com и data-dev.teams.microsoft.com.


Схема атаки

Также, возвращаясь к ограничениям, нужно упомянуть, что для начала атаки злоумышленнику необходимо получить доступ к учетной записи Microsoft Teams, с которой он сможет начать рассылать вредоносные ссылки или файлы GIF. То есть понадобится предварительно скомпрометировать одного из сотрудников компании иным образом. Однако исследователи уверены, что атака все же может быть запущена извне целевой организации. Например, злоумышленник может убедить жертву, пригласить его в Microsoft Teams для проведения собеседования.


Microsoft сообщает, что обнаруженная специалистами уязвимость уже устранена, а обнаруженные CyberArk поддомены более не могут быть использованы злоумышленниками. Также в компании сообщили, что не нашли никаких признаков эксплуатации этой ошибки настоящими хакерами.


Специалисты компании CyberArk обнаружили уязвимость, которая позволяла скомпрометировать учетную запись платформы Microsoft Teams, предназначенной для общения и совместной работы. Для этого злоумышленникам было нужно отправить ссылку или гифку сотруднику целевой организации. Хотя послать вредоносную ссылку или GIF было несложно, подготовительные этапы данной атаки включали несколько шагов, которые вряд ли удалось бы осуществить неискушенным хакерам. «COVID-19 вынудил многие компании перейти на удаленную работу, что привело к значительному росту количества пользователей, использующих Microsoft Teams или другие подобные платформы. Даже если злоумышленник не получит много информации из учетной записи Microsoft Teams, он сможет использовать эту учетную запись для перемещения по всей сети организации», — отмечают специалисты. Обнаруженная уязвимость была связана с тем, как десктопная и браузерая версии Microsoft Teams работает с аутентификационными токенами и ресурсами изображений. По сути, атакующий мог создать ссылку или GIF-файл, который при обработке в Microsoft Teams передавали токен пользователя на подконтрольный злоумышленнику сервер. И если при использовании ссылки жертва должна была кликнуть по ней, то в случае с файлом GIF жертва должна была просто просмотреть гифку в чате Microsoft Teams, после чего токен отправлялся хакеру. То есть взаимодействия с пользователем атака не требовала. Вредоносный GIF в чате Завладев аутентификационным токеном, злоумышленник получал возможность использовать его для угона учетной записи жертвы, используя интерфейсы API. Данный метод подходил для чтения сообщений пользователя в Microsoft Teams, отправки сообщений от имени жертвы, создания групп, добавления или удаления пользователей из групп, а также изменения разрешений группы. Хуже того, атаку можно было полностью автоматизировать, из-за чего проблема могла распространиться по организации, как червь, используя скомпрометированные учетные записи для рассылки вредоносного файла GIF другим пользователям Microsoft Teams. Таким образом атакующий мог достать потенциально конфиденциальную информацию, включая пароли, данные собраний и календаря, а также бизнес-планы. «Что еще более тревожно, эту уязвимость также можно было использовать для отправки ложной информации сотрудникам (выдавая себя за одного из руководителей компании), что могло повлечь за собой финансовый ущерб, путаницу, прямые утечки данных и так далее», — пишут исследователи CyberArk. Так, исследователи описывают простые примеры применения уязвимости: злоумышленник использует взломанную учетную запись для запроса сброса пароля у ИТ-отдела организации. Или злоумышленник связывается с генеральным директором, используя взломанный аккаунт другого руководителя, и запрашивает конфиденциальную финансовую информацию. Таким же образом атакующий может попытаться убедить руководство, например, установить на свои машины малварь. Говоря об упомянутых выше ограничениях, нужно сказать, что когда жертва видит вредоносный файл GIF, ее токен доступа может быть отправлен только на поддомен teams.microsoft.com, а значит, злоумышленнику нужно каким-то образом скомпрометировать такой поддомен. Напомню, что недавние предупреждения ИБ-экспертов гласили (1, 2) что сотни легитимных поддоменов Microsoft, могут быть захвачены хакерами и использованы для фишинга, доставки малвари и разного рода мошенничества. Однако в случае атаки на Microsoft Teams злоумышленнику потребуется найти именно поддомены teams.microsoft.com. Исследователи CyberArk признают, что это непростая задача, но считают, что злоумышленникам с нужными ресурсами и методами это по плечу. Сами эксперты обнаружили два поддомена, которые можно было использовать для атак: aadsync-test.teams.microsoft.com и data-dev.teams.microsoft.com. Схема атаки Также, возвращаясь к ограничениям, нужно упомянуть, что для начала атаки злоумышленнику необходимо получить доступ к учетной записи Microsoft Teams, с которой он сможет начать рассылать вредоносные ссылки или файлы GIF. То есть понадобится предварительно скомпрометировать одного из сотрудников компании иным образом. Однако исследователи уверены, что атака все же может быть запущена извне целевой организации. Например, злоумышленник может убедить жертву, пригласить его в Microsoft Teams для проведения собеседования. Microsoft сообщает, что обнаруженная специалистами уязвимость уже устранена, а обнаруженные CyberArk поддомены более не могут быть использованы злоумышленниками. Также в компании сообщили, что не нашли никаких признаков эксплуатации этой ошибки настоящими хакерами.

Теги: CSS

Просмотров: 493
Комментариев: 0:   28-04-2020, 12:01
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: