Teams MicrosoftSmart Working

Ecco come una GIF condivisa su Teams poteva dare il via a un cyberattacco

di pubblicata il , alle 14:41 nel canale Security Ecco come una GIF condivisa su Teams poteva dare il via a un cyberattacco

CyberArk ha scoperto una falla in Teams che avrebbe permesso a un attaccante di sottrarre tutti i messaggi e i dati dello specifico account. Se fosse stata girata ad altri colleghi, avrebbe compromesso anche i loro. Fortunatamente, c'è una patch

 

La diffusione dello smart working ha spinto notevolmente l'adozione e l'utilizzo di strumenti per la collaborazione remota, incluso Microsoft Teams. Inevitabilmente, gli hacker hanno concentrato i loro sforzi per violare questi strumenti, a volte in maniera particolarmente creativa, come nel caso di una recente vulnerabilità scoperta da CyberArk, che sfruttava una semplice immagine gif. 

Hackerare gli account di Teams con una gif: ecco come era possibile farlo 

MSFT-Teams-Attack-Flow_Graphic

La tecnica descritta dai ricercatori di CyberArk avrebbe permesso a un attaccante di infettare i membri di un gruppo di lavoro su Teams e di intercettare tutti i messaggi, il tutto servendosi di una banale gif. Bastava che una vittima la visualizzasse e a quel punto l'attaccante sarebbe stato in grado di inviarle ad altri impiegati dello stesso team per ottenere i loro token di accesso. 

Questi venivano poi inviati a un server gestito dall'hacker che a questo punto aveva accesso a tutti i messaggi scambiati da queste persone.  

L'attacco si basava sul fatto che ogni volta che un utente si connette a un client Teams, viene creato un token di accesso temporaneo. Oltre a questo token, ne vengono creati altri per accedere a servizi come Sharepoint, Outlook e altre risorse. Sono necessari per gestire i permessi di accesso, e garantire che solo gli accounti autorizzati possano accedere alle specifiche risorse. 

Questi token vengono mandati solamente ai server di Microsoft, nello specifico, a TUTTI i sottodomini di teams.microsoft.com.I ricercatori hanno realizzato che fra i tanti sotto domini, due erano vulnerabili a un attacco di tipo subdomain takeover, in particolare aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com.

Prendendo il controllo di questi sottodomini, un attaccante era quindi in grado di ottenere i token necessari per poter accedere alle risorse di altri utenti.

Una volta compromessi i sottodomini, all'attaccante non restava che inviare una gif alla vittima che, viusalizzandola, avrebbe inviato i token ai domini hackerati. Tramite questo token gli hacker potevano crearne uno valido anche per Skype e, attraverso questa coppia, ottenere i dati della vittima, il tutto senza farsi notare in alcun modo. La vulnerabilità avrebbe potuto spandersi velocemente anche ad altri membri del team, se solo la vittima avesse condiviso anche con loro l'immagine.

In teoria, Teams non permette di comunicare con persone esterne al team, ma come spiegano i ricercatori, il problema era facilmente aggirabile con un minimo di ingegneria sociale, per esempio, effettuando un colloquio di lavoro su Teams stesso.

La patch di Microsoft

Fortunatamente, dopo essere venuta a conoscenza del problema Microsoft è corsa al riparo, cancellando immediatamente i record DNS dei due sottodomini vulnerabili, azione intrapresa il giorno stesso della segnalazione. Circa un mese dopo, ha poi pubblicato una patch per rafforzare la sicurezza di Teams. Solo dopo la pubblicazione di questa patch, avvenuta il 244 aprile, CyberArk ha pubblicato le informazioni sulla falla.  

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Axios200627 Aprile 2020, 15:24 #1
Un prodotto Microsoft con vulnerabilità di sicurezza? Mi sarei meravigliato del contrario.

Dai produttori del sistema operativo più bersagliato dai virus di sempre, fieri autori di Active X e macro, non c'è da meravigliarsi.
biometallo29 Aprile 2020, 13:26 #2
Solo dopo la pubblicazione di questa patch, avvenuta il 244 aprile, CyberArk ha pubblicato le informazioni sulla falla


ma oggi ne abbiamo 29 la patch sarà pubblicata solo tra 215 giorni!
GmG29 Aprile 2020, 14:31 #3
Originariamente inviato da: emiliano84
ovviamente visto che fai la solita trollata e via, sicuramente non risponderai:

https://www.cvedetails.com/top-50-products.php

https://www.cvedetails.com/top-50-vendors.php

pero' nel secondo caso link guardare la colonna #Vulnerabilities/#Products ... lo so che e' difficile


Si Per Windows le versioni XP 7 10 etc vengono considerati prodotti diversi, invece per linux che il kernel sia 1.0 o 5.6 vengono messi tutti sotto linux stessa cosa per debian

Quindi comparazione sarebbe da fare sommando tutte le versioni windows
Saturn29 Aprile 2020, 15:09 #4
Originariamente inviato da: Axios2006
...


STOP. Fermo così. 10.000 post tutti anti-microsoft.

Fai uno screen del tuo account poi riprendi !
Saturn29 Aprile 2020, 15:12 #5
Originariamente inviato da: emiliano84
e mai una risposta


Stile Paganini...NON RIPETE (però solo nello stesso thread putroppo)...
Saturn29 Aprile 2020, 15:19 #6
Originariamente inviato da: emiliano84
pero' c'e' da dargli merito che non fa' mai copia e incolla, scrive sempre messaggi simili ma mai uguali


Assolutamente. Un nome, una garanzia. Chissà invece, non mi ricordo più neanche il nome giuro, quell'altro, quello che ce l'aveva a morte per via dell'hard disk a 5400 giri con Windows 10...il romano...anche quello era "un livello over 9000".
Se ci leggi ancora o magari sei di nuovo qui "sotto copertura" un saluto anche a te !

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^