Microsoft heeft een beveiligingsprobleem in Teams verholpen, dat kon worden gebruikt in een aanval om gebruikersaccounts over te nemen met behulp van een GIF-bestand.
De kwetsbaarheid treft zowel de desktop- als webversie van Microsoft Teams en werd ontdekt door onderzoekers van CyberArk, zo schrijft ZDNet.
Het team ontdekte dat telkens de applicatie wordt geopend de Teams-client een nieuw tijdelijk toegangstoken maakt, dat wordt geverifieerd via login.microsoftonline.com. Daarnaast worden ook tokens gegenereerd om toegang te krijgen tot ondersteunde services zoals SharePoint en Outlook.
Kwetsbare subdomeinen
Zo worden ook tokens gebruikt om de toegangsrechten tot inhoud te beperken. Die worden verzonden naar het domein teams.microsoft.com en subdomeinen daarvan. De onderzoekers ontdekten dat twee van die subdomeinen kwetsbaar waren voor een overname.
Als een aanvaller er in slaagt om een gebruiker een overgenomen subdomein te laten bezoeken, stuurt de browser van het slachtoffer zo’n token naar de server van de aanvaller. Die kan op zijn beurt met behulp daarvan een nieuw token genereren om toegang te krijgen tot de Teams-accountgegevens van het slachtoffer.
GIF-bestand
Dat is waar het GIF-bestand op het toneel verschijnt. Door een kwaadaardige link of GIF-bestand naar het slachtoffer te sturen, kan het vereiste token worden gegenereerd om diens Teams-sessie over te compromitteren. Aangezien het in geval van het GIF-bestand volstaat dat de afbeelding wordt weergegeven, konden zo meerdere gebruikers tegelijk worden aangevallen in een groepsgesprek.
CyberArk heeft een proof-of-concept vrijgegeven waarin het demonstreert hoe een aanval zou kunnen gebeuren, evenals een script om Teams-conversaties te scrapen. De onderzoekers brachten ook Microsoft op de hoogte van hun ontdekking op 23 maart. Die paste onmiddellijk de verkeerd geconfigureerde DNS-records van de subdomeinen aan en publiceerde afgelopen week een patch om het risico op gelijkaardige bugs in de toekomst te beperken.