Pesquisadores da CyberArk descobriram uma vulnerabilidade no modo pelo qual o Teams passa tokens de autenticação relacionados a recursos de imagem
Pesquisadores da CyberArk, uma empresa especializada em soluções de segurança, descobriram uma vulnerabilidade relacionada à maneira pela qual o MS Teams passa tokens de acesso de autenticação para recursos de imagem. Essa vulnerabilidade poderia ser explorada por hackers para sequestrar contas, numa exploração que incluía o envio de links maliciosos ou de imagens GIF para os usuários. A Microsoft foi avisada e corrigiu o problema, publicando em seguida uma correção de segurança. Embora o envio do link ou da imagem maliciosa sejam simples, a preparação do ataque envolve várias etapas difíceis para invasores não especializados – mas ao alcance, por exemplo, de agências de inteligência.
O Microsoft Teams é uma plataforma de comunicação e colaboração que inclui recursos de bate-papo, videoconferência, armazenamento de arquivos e integração de aplicativos. A solução pode ser muito útil para as organizações, principalmente durante a pandemia, quando muitos funcionários são forçados a trabalhar em casa. Um porta-voz da Microsoft informou: “Abordamos a questão discutida no blog da CyberArk e trabalhamos com o pesquisador na Divulgação Coordenada de Vulnerabilidade. Embora não tenhamos visto essa técnica em uso, tomamos medidas para manter nossos clientes seguros”.
Veja isso
Como um ransomware pegou a Norsk Hydro pelo AD
Alerta da Elytron recomenda a clientes desinstalação do Zoom
Na exploração dessa fragilidade, os invasores podem criar um link ou arquivo GIF que, quando processado pelo Teams, envia um token de autenticação para um servidor que eles controlam. No caso de links, a vítima precisa clicar no link, mas em ataques que envolvem imagens GIF, a vítima precisa apenas visualizar o GIF no bate-papo do Teams e seu token é enviado ao hacker.
Depois de obter o token, o invasor pode usá-lo para seqüestrar a conta da vítima por meio das interfaces da API do Teams. Com isso ele pode ler as mensagens, enviar mensagens em nome do usuário, criar grupos, adicionar ou remover usuários de um grupo e alterar as permissões do grupo. Todo o ataque pode ser automatizado, permitindo que agentes mal-intencionados se espalhem por uma organização como um worm, utilizando contas comprometidas para enviar o GIF mal-intencionado a outros usuários. Isso permite que a obtenção de informações potencialmente confidenciais tanto das contas quanto das reuniões.
“Talvez ainda mais perturbador seja o fato de que um invasor também poderia explorar essa vulnerabilidade para enviar informações falsas aos funcionários – representando a liderança mais confiável de uma empresa – causando danos financeiros, confusão, vazamento direto de dados e muito mais”, explicaram os pesquisadores da CyberArk.
Com agênciais internacionais