最近微軟被安全廠商CyberArk發現了一個零時差的漏洞,這個漏洞是發生在最近非常火熱的視訊軟體Microsoft Teams上面,駭客只需要傳送一個惡意連結或是GIF檔就能綁架用戶帳號,而且是用戶只要看到訊息,不需有什麼動作就會中獎。
Microsoft Teams為通訊協同平台,提供包括聊天、視訊、檔案儲存和應用整合功能。在新冠肺炎爆發期間許多企業員工被迫在家上班,促使像是Microsoft Teams、Cisco Webex、Skype和Zoom這類平台用量快速衝高,但也使它們成為駭客下手的好目標。
這項攻擊的關鍵是駭客取得2個關鍵的驗證符記(token)。這2個Token分別是authtoken及skypetoken。前者負責驗證用戶,以便於Teams和Skype網域中下載圖片檔,並用於產生skypetoken,後者則是用於驗證處理用戶端呼叫的伺服器,以能執行讀取或傳送訊息等行為。微軟的原始設計是希望Teams用戶可以存取來自SharePoint、Outlook等其他不同服務資源,沒想到被利用來入侵Teams軟體成功。
研究人員還在Teams網域下發現2個不安全的子網域,並且已經成功駭入接管。他們以此為據點,發送一個惡意GIF檔給Teams用戶。在過程中,Teams用戶連結到該子網域時,瀏覽器將authtoken cookie傳給了駭客,後者可用它來產生skype token,進而成功接管該用戶的帳號,因為Teams用戶只要看到惡意訊息就會被駭,甚至無需開啟或點擊動作,因此所有Teams帳號都受影響,他們還會因此散播給其他用戶。
駭客甚至可以將惡意訊息傳到群組中,以擴大受害範圍,還可以透過綁架的帳號在公司網路上移動,最終可以蒐集到整間公司的重要檔案、業務機密、個資或密碼等敏感資訊。當然微軟也在收到CyberArk的通知後立即修補了此漏洞,只要使用Teams的用戶立即更新至最新版本就不會被駭客有機會入侵成功了。
詳文請見ithome 原文新聞稿