Новости Software

Взломать учётные записи Microsoft Teams можно было с помощью GIF-файла

В сервисе для совместной работы и видеоконференций Microsoft Teams устранена уязвимость, эксплуатация которой могла использоваться для кражи учётных данных пользователей и другой конфиденциальной информации. Для успешного проведения атаки злоумышленникам требовалось взять под контроль поддомены сервера аутентификации teams.microsoft.com и отправить вредоносный GIF-файл.

Об этом сообщили исследователи из компании CyberArk, отметив, что разработчики Microsoft решили данную проблему 20 апреля. Уязвимость затрагивала десктопное приложение Microsoft Teams, а также веб-версию сервиса. Проблема заключалась в особенностях процесса обработки токенов аутентификации для просмотра изображений в Teams. Сервис использует два токена: «authtoken» позволяет загружать изображения в доменах Teams и Skype, а также генерирует второй токен «skypetoken», необходимый для авторизации на сервере обработки запросов пользователей, в том числе на чтение или передачу файлов.

Эти токены обрабатываются Microsoft на сервере teams.microsoft.com и его поддоменах. Исследователи обнаружили уязвимость, которая позволяла взять под контроль два поддомена. Злоумышленникам требовалось заставить жертву посетить один из подконтрольных поддоменов, чтобы осуществить перехват токенов аутентификации. Очевидно, что для этого могла использоваться классическая фишинговая атака, но исследователи посчитали этот способ слишком очевидным. Вместо этого они сформировали вредоносный GIF-файл с изображением Дональда Дака, при просмотре которого учетная запись жертвы автоматически связывается с сервером аутентификации и генерирует токены, которые успешно перехватываются, поскольку пересылаются через подконтрольные поддомены.

Таким образом злоумышленники могли получать доступ к учётным данным пользователей, а также передаваемым ими файлам и другой информации. Несмотря на то, что уязвимость была устранена, её наличие говорит о том, что пользователи сервисов для совместной работы могут быть подвержены серьёзной опасности.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Atos представила пакет сервисов Nimbix Supercomputing Suite для высокопроизводительных вычислений в облаке 32 мин.
Starlink получил разрешения на работу в Нигерии и Мозамбике 17 ч.
Отток айтишников из России в первом полугодии оценили в 40 тыс., но половина вернётся обратно 17 ч.
В Китае представили пятиместный электромобиль за $5900 с дальностью пробега до 300 км 20 ч.
Китайский завод BMW Group освоит замкнутый цикл переработки аккумуляторов электромобилей 21 ч.
Вьетнамское предприятие Intel научилось самостоятельно готовить процессорные подложки 23 ч.
По мере снятия пандемийных ограничений в Китае отмечается падение спроса на смартфоны 23 ч.
NASA наметило вторую репетицию запуска лунной ракеты Artemis I на 19 июня 23 ч.
В игровом сегменте выручка NVIDIA зависела от российского рынка на 4 % 28-05 07:12
Тираж смартфонов Apple серии iPhone 14 уступит объёмам выпуска предшественников в прошлом году 28-05 06:33