COM PLUS SECURITY
  • Úvod
  • Služby
    • Penetrační testy
    • Analýza rizik
    • Bezpečnostní dohled
    • Kurzy a školení
  • GDPR
  • Kontakty
  • Blog
COM PLUS SECURITYStaráme se o bezpečnost Vašich dat
  • Úvod
  • Služby
    • Penetrační testy
    • Analýza rizik
    • Bezpečnostní dohled
    • Kurzy a školení
  • GDPR
  • Kontakty
  • Blog
Microsoft Teams šlo hacknout obrázkem
  • Nezařazené

V aplikaci Microsoft Teams se objevil další problém, po neplatných certifikátech a nezvládání vysokého náporu v době koronavirové pandemie, je tu třetí problém. Účty uživatelů šlo hacknout zaslaným souborem GIF nebo jiným obrázkem. Problém je již naštěstí opraven.

Jak problém nastal? Při přihlášení do aplikace je vygenerován bezpečnostní token, kterým se pak každý uživatel prokazuje jednotlivým součástem aplikace. Přístupový token je vydáván z domény login.microsoftonline.com. Mimo tento základní token ale v Teams běhá i spoustu dalších tokenů např. pro SharePoint, Outlook nebo pro přístup k serveru, kde jsou ukládány zasílané obrázky.

Tam je používán „skype token“ a cookie nazvané „authtoken“ a „skypetoken_asm“. Hlavní funkcí je zajistit, aby k obrázkům měly přístup jen povolané osoby, se kterými byly sdíleny. Tyto tokeny jsou nastaveny tak, aby byly zasílány na teams.microsoft.com nebo jakoukoli subdoménu v rámci *.teams.microsoft.com. Bylo ovšem zjištěno, že je možné provést útok, tzv. převzetí subdomény, konkrétně dvou adres:

  • aadsync-test.teams.microsoft.com
  • data-dev.teams.microsoft.com

Pak stačilo vygenerovat platný certifikát pro danou subdoménu, což ale nebyl větší problém, když o to žádal vlastník subdomény Microsoftu. Tímto by potenciální útočník měl k dispozici vlastní subdoménu v rámci sítě Microsoftu a pro ni i platný certifikát. A teď už se konečně dostáváme k onomu útoku obrázkem. Bylo zjištěno, že nyní už jen stačilo lidem zaslat do konverzace podvržený obrázek (nejčastěji si lidé posílají různé veselé GIFy, takže ty se k útoku doslova nabízejí) a bylo jen potřeba zajistit, aby atribut „src“ směřoval na podvrženou subdoménu. V takovém případě Teams pro to, aby načetly zaslaný obrázek, poslaly autentikační token na podvržený server a ten tak posloužil k zisku bezpečnostního tokenu uživatele.

S tím se pak dají dělat další věci vedoucí např. k zisku dalších dat oběti. Ta nic nepozná a ani se nemůže proti útoku moc bránit, protože k němu dochází automaticky načtením obrázku v konverzaci. Jednou z metod prevence je nepovolovat komunikaci s neznámými zdroji vně organizace, ale jak tvrdí i objevitelé chyby, stačí např. jen to, že jeden člověk v organizaci provede pracovní rozhovor s adeptem na pracovní pozici, a už jsou otevřená vrátka k útoku na celou organizaci. Chyba byla objevena 23. března letošního roku, a ještě téhož dne Microsoft opravil DNS záznamy svých serverů, čímž znemožnil převzetí výše zmíněných subdomén. 20. dubna pak vydal patch celé aplikace.

Comments are closed.

Nejnovější příspěvky
  • NUKIB upozorňuje na sadu zranitelností týkající se softwaru VMware a platformy VMware vRealize Operations
  • Cisco hacknul gang ransomwaru Yanluowang, údajně ukradeno 2,8 GB
  • Nový špionážní trojský kůň ohrožuje počítače s macOS, komunikuje přes cloudové uložiště a je zaměřen zřejmě pouze na specifické cíle.
  • Populární kryptoměnovou burzu Uniswap zasáhl phishingový útok, útočníci se vydávají za známé kyberbezpečnostní firmy.
  • Národní úřad pro kybernetickou bezpečnost varuje před kyberútoky v době našeho předsednictví v Radě EU.
admin 28. 4. 2020
No Comment
NOVÁ VLNA PODVODNÝCH VYDĚRAČSKÝCH E-MAILŮ
Hrozby zacílené na průmyslové řídicí systémy (ICS)
COM PLUS CZ a.s.

Outsourcing ICT, kybernetická bezpečnost, penetrační testy, analýza rizik, školení kybernetické bezpečnosti, správa IT, dohledové systémy, telekomunikační řešení, helpdesk, vývoj software, servis.

Naše služby
  • Kurzy a školení
  • Bezpečnostní dohled
  • Analýza rizik
  • Penetrační testy
Aktuality
  • NUKIB upozorňuje na sadu zranitelností týkající se softwaru VMware a platformy VMware vRealize Operations
  • Cisco hacknul gang ransomwaru Yanluowang, údajně ukradeno 2,8 GB
  • Nový špionážní trojský kůň ohrožuje počítače s macOS, komunikuje přes cloudové uložiště a je zaměřen zřejmě pouze na specifické cíle.
  • Populární kryptoměnovou burzu Uniswap zasáhl phishingový útok, útočníci se vydávají za známé kyberbezpečnostní firmy.
  • Národní úřad pro kybernetickou bezpečnost varuje před kyberútoky v době našeho předsednictví v Radě EU.
Kontaktní údaje

COM PLUS CZ a.s.

Nad Krocínkou 317/48
Praha 9, 190 00

IČ: 25772104
DIČ: CZ25772104

bezpecneict@complus.cz

+420 225 103 222

COM PLUS CZ a.s. 2020
Tyto webové stránky využívají cookies k analýze návštěvnosti. Více informací zde. SOUHLASÍM
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vždy povoleno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
ULOŽIT A PŘIJMOUT