Microsoft Teams vướng lỗi bảo mật khiến tin tặc hack tài khoản chỉ bằng một bức hình dễ dàng

www.tuoitre.vn -   06/05/2020 12:00:00 916

Mới đây Microsoft đã vá một lỗ hổng worm trong nền tảng cộng tác và làm việc trực tuyến Teams. Lỗ hổng này có thể cho phép kẻ tấn công lấy được toàn bộ danh sách tài khoản của một tổ chức chỉ bằng cách gửi cho các thành viên liên kết độc hại đến một hình ảnh nhìn có vẻ vô hại.

Microsoft Teams vướng lỗi bảo mật khiến tin tặc hack tài khoản chỉ bằng một bức hình dễ dàng

Được phát hiện bởi các nhà nghiên cứu an ninh mạng tại CyberArk, lỗ hổng trên ảnh hưởng đến cả phiên bản desktop và phiên bản web. Sau khi được phát hiện và báo cáo vào ngày 23/3, lỗ hổng đã được Microsoft vá trong bản cập nhật được phát hành vào ngày 20/4.

Nhà nghiên cứu Omer Tsarfati của CyberArk phát biểu “Ngay cả khi không thu thập được nhiều thông tin từ các tài khoản Teams, kẻ tấn công vẫn có thể sử dụng tài khoản để truy cập vào toàn bộ tổ chức (như một sâu máy tính)”.

“Cuối cùng, kẻ tấn công có thể truy cập tất cả dữ liệu từ tài khoản Teams của tổ chức, thu thập thông tin bí mật, những cuộc họp và thông tin lịch trình, dữ liệu cạnh tranh, mật khẩu, thông tin cá nhân, kế hoạch kinh doanh,…”

Sự phát triển của cách tấn công này xuất hiện khi các phần mềm hội nghị trực tuyến như Zoom và Microsoft Teams có ​​sự gia tăng nhu cầu từ phía người dùng. Đặc biệt trong bối cảnh các nhân viên doanh nghiệp, học sinh, sinh viên và thậm chí nhân viên chính phủ trên khắp thế giới buộc phải làm việc và giao tiếp tại nhà vì đại dịch COVID-19

Microsoft Teams vướng lỗi bảo mật khiến tin tặc hack tài khoản chỉ bằng một bức hình dễ dàng

Một lỗ hổng chiếm tên miền phụ – Subdomain takeover Vulnerability

Lỗ hổng bắt nguồn từ cách thức Microsoft Teams xử lý xác thực đến tài nguyên hình ảnh. Mỗi khi ứng dụng được mở, mã thông báo truy cập, JWT (JSON Web Token – mã JSON) sẽ được tạo, cho phép người dùng xem hình ảnh được họ hay những người khác trong một cuộc trò chuyện chia sẻ.

Các nhà nghiên cứu của CyberArk nhận thấy rằng họ có thể tạo một cookie (được gọi là “authtoken”) cấp quyền truy cập vào một máy chủ tài nguyên (api.spaces.skype.com) và sử dụng nó để tạo ra “skype token” được phép gửi tin nhắn, đọc tin nhắn, tạo nhóm, thêm người dùng mới hoặc xóa người dùng khỏi nhóm, thay đổi quyền trong nhóm thông qua API nhóm.

Authtoken cookie còn có thể được đặt để gửi cho teams.microsoft.team hoặc bất kỳ tên miền phụ nào của nó, các nhà nghiên cứu cho biết họ đã phát hiện ra hai tên miền phụ dễ bị tấn công chiếm đoạt là aadsync-test.teams.microsoft.com và data-dev.teams.microsoft.com.

Microsoft Teams vướng lỗi bảo mật khiến tin tặc hack tài khoản chỉ bằng một bức hình dễ dàng

Các nhà nghiên cứu tuyên bố “Nếu kẻ tấn công có thể dụ người dùng truy cập vào các tên miền phụ đã bị chiếm thì trình duyệt của nạn nhân sẽ gửi cookie này đến máy chủ của kẻ tấn công và kẻ tấn công (sau khi nhận được authtoken) có thể tạo skype token. Sau khi thực hiện các bước trên, kẻ tấn công có thể đánh cắp dữ liệu tài khoản Teams của nạn nhân”.

Khi có trong tay các tên miền phụ, kẻ tấn công có thể khai thác lỗ hổng chỉ bằng cách gửi một liên kết độc hại, ví dụ như một GIF, cho một nạn nhân ít ngờ đến hoặc cho tất cả các thành viên của nhóm trò chuyện. Khi người nhận mở tin nhắn, trình duyệt sẽ tải hình ảnh sau khi gửi authtoken cookie đến tên miền phụ bị chiếm quyền.

Sau đó, kẻ xấu có thể lợi dụng authtoken cookie này để tạo skype token rồi từ đó truy cập vào tất cả dữ liệu của nạn nhân. Thậm chí, cuộc tấn công có thể gây ảnh hưởng đến bất kỳ người ngoài nào từng có tương tác liên quan đến giao diện trò chuyện, chẳng hạn như từng nhận được lời mời tham gia cuộc gọi hội nghị cho một cuộc phỏng vấn việc làm tiềm năng.

Các nhà nghiên cứu cho biết “Nạn nhân sẽ không bao giờ biết rằng họ đã bị tấn công, nên việc khai thác lỗ hổng rất lén lút và nguy hiểm”.

Microsoft Teams vướng lỗi bảo mật khiến tin tặc hack tài khoản chỉ bằng một bức hình dễ dàng

Số cuộc tấn công vào hội nghị trực tuyến ngày càng gia tăng

Trong bối cảnh đại dịch COVID-19, việc chuyển sang làm việc từ xa khiến và nhu cầu về các dịch vụ hội nghị trực tuyến ngày càng tăng. Việc này đã giúp những kẻ tấn công có thêm cách thức mới để đánh cắp thông tin đăng nhập và phân tán phần mềm độc hại.

Nghiên cứu gần đây từ Proofpoint và Abnormal Security đã phát hiện ra các chiến dịch tấn công phi kỹ thuật yêu cầu người dùng tham gia cuộc họp Zoom hoặc truy cập vào lỗ hổng bảo mật của Cisco WebEx bằng cách nhấp vào các liên kết độc hại đánh cắp thông tin đăng nhập.

Trước những mối đe dọa trên, mọi người nên đề phòng lừa đảo và đảm bảo luôn cập nhật phiên bản mới nhát của những phần mềm hội nghị trực tuyến.

The HackerNews

 

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 72
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 80
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Chế độ ẩn danh mới trên trình duyệt Chro...

30/11/2022 12:00:00 43
Không rõ tính năng này bắt đầu ra mắt khi nào nhưng Google chỉ kích hoạt săn nó theo mặc định cho mộ...

Hơn 300,000 thông tin Facebook bị hack q...

30/11/2022 12:00:00 38
Các ứng dụng lan truyền mã độc này được thiết kế núp bóng dưới dạng phần mềm đọc sách điện tử, với v...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 90
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng loạt điện thoại Android dính mã độc...

29/11/2022 12:00:00 20
Đã có ít nhất 750 máy nhiễm mã độc nhưng do website chưa bị vô hiệu hóa và World Cup 2022 mới đi đượ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ