Microsoft Teams una GIF per rubarvi l’account questa settimana una brutta notizia per tutti coloro o aziende che usano Microsoft Teams.

  • Poiché sempre più attività vengono svolte da postazioni remote, gli aggressori stanno concentrando i propri sforzi sullo sfruttamento delle tecnologie chiave – come Zoom e Microsoft Teams – dalle quali aziende e dipendenti dipendono per rimanere connessi.
  • Abbiamo scoperto che sfruttando una vulnerabilità di acquisizione di un sottodominio in Microsoft Teams, gli aggressori avrebbero potuto utilizzare una GIF dannosa per racimolare i dati degli utenti e infine rubare l’intero elenco di account di Teams di un’organizzazione.
  • Dal momento che gli utenti non dovrebbero condividere la GIF – basta vederla – per essere colpiti, vulnerabilità come questa hanno la possibilità di diffondersi automaticamente dopo essere condivisa.
  • Questa vulnerabilità avrebbe interessato tutti gli utenti che utilizzano la versione desktop o Web del browser Teams.
  • CyberArk ha collaborato con Microsoft Security Research Center sotto responsive disclosure della vulnerabilità dopo averla scoperta e condivisa.

Microsoft Teams o forse Zoom? Quali applicazioni usi? Tutti sono estremamente popolari tra gli utenti business ovvero aziende, ma sono stati assolutamente essenziali durante questa “nuova norma” in cui le aziende stanno lavorando duramente per rimanere in contatto con dipendenti, clienti e partner.

In questi giorni tutto viene svolto in remoto, dai colloqui di lavoro alle riunioni di lavoro. Ora, più che mai, queste piattaforme sono il nostro “go-to” per quasi tutto, da una semplice chat con un membro del team a una riunione a livello aziendale. La quantità di dati che condividono queste applicazioni è enorme e spesso include informazioni riservate da nomi utente e password a informazioni aziendali top-secret, rendendole obiettivi principali per gli aggressori.

Immagina il seguente scenario. Un utente malintenzionato invia una GIF o un’immagine a una vittima e ottiene il controllo sul proprio account. Questa vulnerabilità ha funzionato in questo modo e ha il potenziale per assumere l’intero elenco di account Microsoft Teams di un’organizzazione.

Per coloro che non conoscono Microsoft Teams, è una piattaforma di comunicazione e collaborazione leader che combina chat sul posto di lavoro persistente, videoconferenze, archiviazione dei file, collaborazione sui file e integrazione con le applicazioni. Anche integrata in strumenti di monitoring o alert di vari tools.

Uno dei principali vantaggi di Microsoft Teams è che fornisce l’integrazione di prima parte con l’abbonamento a Office 365 di una società e presenta anche estensioni che possono essere integrate con prodotti non Microsoft.

 

Durante la ricerca, il team ha notato qualcosa di molto interessante nel modo in cui si trasmette il token di accesso all’autenticazione alle risorse dell’immagine.

Senza entrare in troppi dettagli tecnici, ogni volta che apri Teams, il tuo client crea un nuovo token temporaneo o token di accesso. Questo token di accesso, sotto forma di JWT , viene creato dall’autorizzazione di Microsoft e dal server di autenticazione – ” login.microsoftonline.com .” Oltre al token di accesso iniziale, ce ne sono molti altri creati per Teams, alcuni dei quali vengono utilizzati per accedere a servizi diversi come SharePoint, Outlook e molti altri.

Il client Teams utilizza uno di questi token creati per consentire a un utente di vedere le immagini condivise con loro o da loro, poiché tali immagini sono archiviate sui server di Microsoft, che applica il controllo delle autorizzazioni. Questo token, chiamato “token skype”, può anche essere visto come un cookie chiamato “skypetoken_asm”. Sebbene questo token abbia più usi oltre al semplice accesso alle immagini.

Rest API è l’approccio comune odierno per esporre e eseguire comandi per le applicazioni moderne, in particolare le applicazioni web come Teams. Le applicazioni complesse come i team utilizzano principalmente più di un endpoint API , poiché devono comunicare con più di un servizio.

Alla fine, il client Teams deve inviare l’azione dell’utente (come l’invio di un messaggio) all’endpoint dell’API pertinente, ma come fa l’endpoint API a associare l’azione in arrivo all’utente giusto? L’autenticazione è la chiave per rispondere a questa domanda.

Esistono molti modi per autenticare gli utenti davanti alle API: una delle tecniche più comuni è l’invio di un token di accesso tramite un’intestazione di autorizzazione. Teams utilizza questo metodo per autenticare l’utente davanti alla sua interfaccia API, ma ciò causa un problema significativo quando si tratta di immagini.

Ecco perché:

Il caricamento delle immagini è un po ‘più complicato dal punto di vista dell’autenticazione se non si basa il metodo di autenticazione dell’utente sui cookie. I team gestiscono la maggior parte, se non tutti, i token di autenticazione (token JWT) nella memoria locale del browser – e i cookie sono solo una piccola parte del suo processo di autenticazione.

In alcuni casi, come nel caso del caricamento di immagini, è possibile che si verifichi un problema durante l’accesso a tali immagini, poiché è necessario in qualche modo passare il token di autenticazione al server che contiene le immagini.

Ma, di nuovo, c’è un grosso problema qui. In che modo i team si assicurano che saremo in grado di vedere il contenuto? Dopotutto, i media condivisi tra gli utenti dovrebbero essere limitati in modo che solo loro possano vederli. Ciò significa che i team devono avere restrizioni sulle autorizzazioni di accesso per il contenuto.

Il modo in cui Microsoft ha deciso di risolvere questa sfida è stato stabilendo un cookie chiamato “authtoken” e “skypetoken_asm”. Ecco perché questo potrebbe presentare un problema.

Il cookie “authtoken” contiene un token di accesso sotto forma di JWT ed è impostato per essere inviato a * .teams.microsoft.com.  JWT per questo token di accesso è api.spaces.skype.com , il che significa che solo questo dominio specifico accetterà questo token. Questo endpoint non gestisce le richieste di azioni che un utente malintenzionato potrebbe trovare interessanti come leggere o inviare messaggi.