A Microsoft corrigiu uma vulnerabilidade do tipo worm em sua plataforma de bate-papo por vídeo e colaboração no local de trabalho do Teams, que poderia permitir que os invasores assumissem o controle de toda a lista de contas do Teams apenas enviando aos participantes um link malicioso para uma imagem de aparência inocente.
A falha, impactando as versões desktop e web do aplicativo, foi descoberta por pesquisadores de segurança cibernética da CyberArk. Depois que as descobertas foram divulgadas com responsabilidade em 23 de março, a Microsoft corrigiu a vulnerabilidade em uma atualização lançada em 20 de abril.
"Mesmo que um invasor não colete muitas informações da conta de uma equipe, ele ainda poderá usá-la para percorrer toda a organização. (como um verme) ", disse Omer Tsarfati , da CyberArk .
"Eventualmente, o invasor pode acessar todos os dados das contas das equipes da organização - reunindo informações confidenciais, informações sobre reuniões e calendários, dados competitivos, segredos, senhas, informações particulares, planos de negócios etc."
A falha, impactando as versões desktop e web do aplicativo, foi descoberta por pesquisadores de segurança cibernética da CyberArk. Depois que as descobertas foram divulgadas com responsabilidade em 23 de março, a Microsoft corrigiu a vulnerabilidade em uma atualização lançada em 20 de abril.
"Mesmo que um invasor não colete muitas informações da conta de uma equipe, ele ainda poderá usá-la para percorrer toda a organização. (como um verme) ", disse Omer Tsarfati , da CyberArk .
"Eventualmente, o invasor pode acessar todos os dados das contas das equipes da organização - reunindo informações confidenciais, informações sobre reuniões e calendários, dados competitivos, segredos, senhas, informações particulares, planos de negócios etc."
O desenvolvimento ocorre quando softwares de videoconferência, como Zoom e Microsoft Teams, estão testemunhando um aumento sem precedentes na demanda, pois empresas, estudantes e até funcionários do governo em todo o mundo são forçados a trabalhar e socializar em casa durante a pandemia de coronavírus.
Vulnerabilidade de controle de subdomínio
A falha decorre da maneira como o Microsoft Teams lida com autenticação para recursos de imagem. Sempre que o aplicativo é aberto, um token de acesso, um JSON Web Token (JWT) é criado durante o processo, permitindo que o usuário visualize imagens compartilhadas pelo indivíduo ou por outras pessoas em uma conversa.
Os pesquisadores da CyberArk descobriram que foram capazes de se apossar de um cookie (chamado "authtoken") que concede acesso a um servidor de recursos (api.spaces.skype.com) e o usaram para criar o "token do skype" mencionado acima, fornecendo assim permissões ilimitadas para enviar mensagens, ler mensagens, criar grupos, adicionar novos usuários ou remover usuários de grupos, alterar permissões em grupos por meio da API do Teams.
Isso não é tudo. Como o cookie authtoken deve ser enviado para teams.microsoft.team ou qualquer um de seus subdomínios, os pesquisadores disseram ter descoberto dois subdomínios (aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com) que eram suscetíveis a ataques de controle.
Isso não é tudo. Como o cookie authtoken deve ser enviado para teams.microsoft.team ou qualquer um de seus subdomínios, os pesquisadores disseram ter descoberto dois subdomínios (aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com) que eram suscetíveis a ataques de controle.
Agora armado com os subdomínios comprometidos, um invasor pode explorar a falha apenas enviando um link malicioso, digamos um GIF, para uma vítima inocente ou para todos os membros de um bate-papo em grupo . Assim, quando os destinatários abrem a mensagem, o navegador tenta carregar a imagem, mas não antes de enviar os cookies de autenticação automática para o subdomínio comprometido.
"Se um invasor puder de alguma forma forçar um usuário a visitar os subdomínios que foram controlados, o navegador da vítima enviará esse cookie ao servidor do invasor, e o atacante (após receber o authtoken) poderá criar um token do skype", afirmaram os pesquisadores . "Depois de fazer tudo isso, o atacante pode roubar os dados da conta da equipe da vítima".
O mau ator pode abusar desse cookie de autenticação automática para criar um token do skype e, portanto, acessar todos os dados da vítima. Pior, o ataque pode ser montado por qualquer pessoa de fora, desde que a interação envolva uma interface de bate-papo, como um convite para uma teleconferência para uma possível entrevista de emprego.
"A vítima nunca saberá que foi atacada, tornando a exploração dessa vulnerabilidade furtiva e perigosa", disseram os pesquisadores.
A mudança para o trabalho remoto em meio à pandemia de COVID-19 em andamento e o aumento da demanda por serviços de videoconferência tornaram-se uma tática lucrativa para os invasores roubarem credenciais e distribuírem malware.
Pesquisas recentes da Proofpoint e da Anormal Security descobriram campanhas de engenharia social pedindo aos usuários para participar de uma reunião do Zoom ou abordar uma vulnerabilidade de segurança do Cisco WebEx clicando em links maliciosos projetados para roubar credenciais de login.
Diante dessas ameaças emergentes, é recomendável que os usuários tomem cuidado com golpes de phishing e garantam que o software de videoconferência seja mantido atualizado.
"A vítima nunca saberá que foi atacada, tornando a exploração dessa vulnerabilidade furtiva e perigosa", disseram os pesquisadores.
Ataques temáticos da empresa de videoconferência em ascensão
A mudança para o trabalho remoto em meio à pandemia de COVID-19 em andamento e o aumento da demanda por serviços de videoconferência tornaram-se uma tática lucrativa para os invasores roubarem credenciais e distribuírem malware.
Pesquisas recentes da Proofpoint e da Anormal Security descobriram campanhas de engenharia social pedindo aos usuários para participar de uma reunião do Zoom ou abordar uma vulnerabilidade de segurança do Cisco WebEx clicando em links maliciosos projetados para roubar credenciais de login.
Diante dessas ameaças emergentes, é recomendável que os usuários tomem cuidado com golpes de phishing e garantam que o software de videoconferência seja mantido atualizado.
Postar um comentário