Así es como ver un GIF en Microsoft Teams provocó un error de secuestro de cuenta


Microsoft ha resuelto los problemas de seguridad en los equipos de Microsoft que podrían haberse utilizado en una cadena de ataque para hacerse cargo de las cuentas de los usuarios, todo con la ayuda de un archivo .GIF.

El lunes, investigadores de ciberseguridad de CyberArk dijo una vulnerabilidad de adquisición de subdominio, combinada con un archivo .GIF malicioso, podría usarse para «raspar los datos de un usuario y, en última instancia, hacerse cargo de la lista completa de cuentas de Teams de una organización».

El equipo dice que los problemas de seguridad afectan a Microsoft Teams en el escritorio, así como en la versión del navegador website.

La plataforma de comunicaciones de Microsoft está disfrutando de una foundation de clientes ampliada junto con servicios rivales como Zoom y GoToMeeting debido al brote de COVID-19. Microsoft Groups se está empleando para mantener las empresas operativas, lo que incluye compartir datos corporativos y, por lo tanto, puede ser de nuevo interés para los ciberatacantes a la luz de las circunstancias actuales.

Ver también: Microsoft: así es como estamos tratando de gestionar una mayor demanda en la nube

Durante el examen de CyberArk de la plataforma, el equipo descubrió que cada vez que se abría la aplicación, el cliente Groups crea un nuevo token de acceso temporal, autenticado a través de login.microsoftonline.com. También se generan otros tokens para acceder a servicios compatibles como SharePoint y Outlook.

Se utilizan dos cookies para restringir los permisos de acceso al contenido, «authtoken» y «skypetoken_asm». El token de Skype se envió a groups.microsoft.com y sus subdominios, dos de los cuales fueron vulnerables a la adquisición de un subdominio.

«Si un atacante puede obligar de alguna manera a un usuario a visitar los subdominios que se han apoderado, el navegador de la víctima enviará esta cookie al servidor del atacante, y el atacante (después de recibir el token automático) puede crear un token de Skype», dice el equipo . «Después de hacer todo esto, el atacante puede robar los datos de la cuenta de los equipos de la víctima».

CNET: Estos sitios world-wide-web anti-cuarentena son falsos. Esto es lo que realmente buscan

Sin embargo, la cadena de ataque es compleja, ya que era necesario que un atacante emitiera un certificado para los subdominios comprometidos, solo posible &#39probando&#39 la propiedad mediante pruebas como cargar un archivo en una ruta específica.

Como los subdominios ya eran vulnerables, se superó este desafío, y al enviar un enlace malicioso al subdominio o al enviar a un equipo un archivo .GIF, esto podría llevar a la generación del token requerido para comprometer la sesión de Equipos de la víctima al Un atacante recién autenticado. Como la imagen solo tenía que verse, esto podría afectar a más de un individuo a la vez.

screenshot-2020-04-26-at-14-38-36.png

CyberArk lanzó un código de prueba de concepto (PoC) que demuestra cómo podrían haber tenido lugar los ataques, junto con un script que podría usarse para eliminar conversaciones de Groups.

screenshot-2020-04-26-at-14-39-06.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/04/26/96b82079-3e46-42be-8a39-962c05fe2bd0 /screenshot-2020-04-26-at-14-39-06.png

TechRepublic: Los ataques de phishing con temática de coronavirus tienen como objetivo capturar las credenciales bancarias

«COVID-19 ha obligado a muchas compañías a pasar al trabajo remoto a tiempo completo, lo que ha llevado a un aumento significativo en la cantidad de usuarios que usan equipos o plataformas como esta», dice CyberArk. «Incluso si un atacante no reúne mucha información de la cuenta de un Equipo, podría usar la cuenta para recorrer toda la organización».

Los investigadores trabajaron con el Centro de Respuesta de Seguridad de Microsoft (MSRC) bajo el programa de Divulgación de Vulnerabilidad Coordinada (CVD) para informar sus hallazgos.

CyberArk informó la falla de seguridad el 23 de marzo. El mismo día, el gigante de Redmond corrigió los registros DNS mal configurados de los dos subdominios necesarios para activar la toma de handle de las cuentas. El 20 de abril, Microsoft también lanzó un parche para mitigar el riesgo de errores similares en el futuro.

Un portavoz de Microsoft le dijo a ZDNet:

«Abordamos el problema discutido en este web site y trabajamos con el investigador en Divulgación de Vulnerabilidad Coordinada. Si bien no hemos visto ningún uso de esta técnica en la naturaleza, hemos tomado medidas para mantener seguros a nuestros clientes».

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia primary