Фахівці ІБ-компанії CyberArk виявили , що захопити чужий обліковий запис Microsoft Teams можна за допомогою одного лише GIF-зображення. Представлений дослідниками метод дозволяє отримувати доступ відразу до кількох облікових записів одночасно, а також викрадати бесіди і потоки завдань.
Головною умовою для здійснення атаки був контроль над піддоменами teams.microsoft.com. Дослідники повідомили про це Microsoft, і компанія виправила проблему.
Для того щоб переконатися, що користувач отримує призначене для нього зображення, Microsoft Teams використовує для аутентифікації два токена -authtoken і skypetoken. Authtoken дозволяє користувачеві завантажувати зображення в доменах Teams і Skype і генерує skypetoken. У свою чергу skypetoken використовується для аутентифікації на сервері, що обробляє запити дій від клієнта, такі як читання або відправлення повідомлень.
Маючи в своєму розпорядженні обидва токена, зловмисник може здійснювати виклики через Teams API і отримати повний контроль над обліковим записом, в тому числі читати/надсилати повідомлення, створювати групи, додавати/видаляти користувачів і змінювати дозволи. Єдиний “недолік” – authtoken може використовуватися тільки на піддомені teams.microsoft.com. В ході дослідження експертам CyberArk вдалося захопити піддомени aadsync-test.teams.microsoft.com і data-dev.teams.microsoft.com.
Якщо зловмисник зможе якимось чином змусити жертву відвідати зламані піддомени, її браузер відправить authtoken на підконтрольний зловмисникові сервер, і після отримання authtoken він зможе створити skypetoken. Проробивши все це, зловмисник зможе викрасти дані облікового запису Microsoft Teams жертви. Для здійснення атаки зловмисникові доведеться отримати цифровий сертифікат для зламаного піддомена, оскільки authtoken має “прапор” безпеки, однак цю проблему легко вирішити, впевнені дослідники.
Атака відбувається у фоновому режимі, і жертва навіть не здогадується про злам. За словами дослідників, атаку можна автоматизувати, і вона буде поширюватися подібно хробакові.
Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ЗРОБИТИ ВАШУ ВІДЕОКОНФЕРЕНЦІЮ МАКСИМАЛЬНО БЕЗПЕЧНОЮ? ПОРАДИ
ЩО КРАЩЕ – “ВИМКНУТИ” ЧИ “ПЕРЕЗАВАНТАЖИТИ” КОМП’ЮТЕР? ПОРАДИ ЕКСПЕРТІВ
ЯК ЗРОБИТИ ВІДДАЛЕНИЙ РЕЖИМ РОБОТИ ПІД ЧАС КАРАНТИНУ БЕЗПЕЧНИМ? ПОРАДИ
ФІШИНГ ТА СПАМ: ЯК РОЗПІЗНАТИ ІНТЕРНЕТ-ШАХРАЙСТВА, ПОВ’ЯЗАНІ З COVID-19?
АПГРЕЙД ВАШОГО КОМП’ЮТЕРА: 5 КОМПЛЕКТУЮЧИХ, ЯКІ ВАРТО ОНОВИТИ В ПЕРШУ ЧЕРГУ
Нагадаємо, облікові записи 20 мільйонів користувачів були опубліковані в Інтернеті. Хакер, який скоїв злочин, стверджує, що він може опублікувати ще 19 мільйонів.
Також у пристроях для моніторингу та контролю системи “розумного дому” були виявлені серйозні уразливості. Ці системи використовуються у тисячах будинках та в невеликих офісах у всьому світі. Однак через роботу більшості співробітників вдома уразливості в таких системах можуть стати потенційним вектором атак на підприємства.
Зверніть увагу, що Гголосові помічники Amazon Alexa, Google Assistant, Apple Siri та Microsoft Cortana протягом останніх років стали надзвичайно популярними. Однак, через те, що вони досить часто активуються випадково, навіть якщо користувачі не вимовляли спеціальні фрази, постало питання безпеки та конфіденційності цифрових асистентів.
Кожен користувач Інтернету має хоч аб один обліковий запис у соціальних мережах. І злам екаунта, його блокування чи несанкціонований доступ зловмисників може стати для власника справжньою трагедією. Як зарадити цьому та розпізнати втурчання у Ваш обліковий запис, читайте тут.
Окрім цього, більшість користувачів вважають, що використання складного PIN-коду та біометричних даних забезпечує всебічний захист месенджерів. Однак приклади поширення шкідливого програмного забезпечення через месенджери свідчать про “прогалини” у безпеці. Як не стати жертвою зловмисників та зменшити ризики несанкціонованого доступу до профілю, дізнайтесь зі статті.