Ecco come una GIF condivisa su Teams poteva dare il via a un cyberattacco

La diffusione dello smart working ha spinto notevolmente l'adozione e l'utilizzo di strumenti per la collaborazione remota, incluso Microsoft Teams. Inevitabilmente, gli hacker hanno concentrato i loro sforzi per violare questi strumenti, a volte in maniera particolarmente creativa, come nel caso di una recente vulnerabilità scoperta da CyberArk, che sfruttava una semplice immagine gif. 

Hackerare gli account di Teams con una gif: ecco come era possibile farlo 

La tecnica descritta dai ricercatori di CyberArk avrebbe permesso a un attaccante di infettare i membri di un gruppo di lavoro su Teams e di intercettare tutti i messaggi, il tutto servendosi di una banale gif. Bastava che una vittima la visualizzasse e a quel punto l'attaccante sarebbe stato in grado di inviarle ad altri impiegati dello stesso team per ottenere i loro token di accesso. 

Questi venivano poi inviati a un server gestito dall'hacker che a questo punto aveva accesso a tutti i messaggi scambiati da queste persone.  

L'attacco si basava sul fatto che ogni volta che un utente si connette a un client Teams, viene creato un token di accesso temporaneo. Oltre a questo token, ne vengono creati altri per accedere a servizi come Sharepoint, Outlook e altre risorse. Sono necessari per gestire i permessi di accesso, e garantire che solo gli accounti autorizzati possano accedere alle specifiche risorse. 

Questi token vengono mandati solamente ai server di Microsoft, nello specifico, a TUTTI i sottodomini di teams.microsoft.com.I ricercatori hanno realizzato che fra i tanti sotto domini, due erano vulnerabili a un attacco di tipo subdomain takeover, in particolare aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com.

Prendendo il controllo di questi sottodomini, un attaccante era quindi in grado di ottenere i token necessari per poter accedere alle risorse di altri utenti.

Una volta compromessi i sottodomini, all'attaccante non restava che inviare una gif alla vittima che, viusalizzandola, avrebbe inviato i token ai domini hackerati. Tramite questo token gli hacker potevano crearne uno valido anche per Skype e, attraverso questa coppia, ottenere i dati della vittima, il tutto senza farsi notare in alcun modo. La vulnerabilità avrebbe potuto spandersi velocemente anche ad altri membri del team, se solo la vittima avesse condiviso anche con loro l'immagine.

In teoria, Teams non permette di comunicare con persone esterne al team, ma come spiegano i ricercatori, il problema era facilmente aggirabile con un minimo di ingegneria sociale, per esempio, effettuando un colloquio di lavoro su Teams stesso.

La patch di Microsoft

Fortunatamente, dopo essere venuta a conoscenza del problema Microsoft è corsa al riparo, cancellando immediatamente i record DNS dei due sottodomini vulnerabili, azione intrapresa il giorno stesso della segnalazione. Circa un mese dopo, ha poi pubblicato una patch per rafforzare la sicurezza di Teams. Solo dopo la pubblicazione di questa patch, avvenuta il 244 aprile, CyberArk ha pubblicato le informazioni sulla falla.