一張圖片怎么做到讓攻擊者黑進(jìn)微軟團(tuán)隊(duì)賬戶(hù)？-服務(wù)器運(yùn)維

2020-05-08 17:37 作者：艾銻無(wú)限 瀏覽量：

一張圖片怎么做到讓攻擊者黑進(jìn)微軟團(tuán)隊(duì)賬戶(hù)？-服務(wù)器運(yùn)維

微軟(Microsoft)在其團(tuán)隊(duì)的工作場(chǎng)所視頻聊天和協(xié)作平臺(tái)上修補(bǔ)了一個(gè)類(lèi)似蠕蟲(chóng)的漏洞，攻擊者通過(guò)發(fā)給受害者一個(gè)看似無(wú)害的圖像，結(jié)果卻是惡意鏈接，進(jìn)而黑進(jìn)一個(gè)團(tuán)隊(duì)全部賬戶(hù)。 點(diǎn)我呀!
這一影響桌面版和網(wǎng)絡(luò)版應(yīng)用程序的漏洞是由CyberArk的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)的。在3月23日負(fù)責(zé)任地披露了調(diào)查結(jié)果之后，微軟在4月20日發(fā)布的更新中修補(bǔ)了這一漏洞。
“即使攻擊者沒(méi)有從一個(gè)團(tuán)隊(duì)的賬戶(hù)中收集到很多信息，他們?nèi)匀豢梢允褂帽缓诘馁~戶(hù)來(lái)竊取整個(gè)組織的信息(和蠕蟲(chóng)病毒一個(gè)性質(zhì))，”CyberArk的奧馬爾·特薩爾法蒂(Omer Tsarfati)說(shuō)。。 最終，攻擊者可以訪(fǎng)問(wèn)您組織的團(tuán)隊(duì)賬戶(hù)的所有數(shù)據(jù)——收集機(jī)密信息、會(huì)議信息、競(jìng)爭(zhēng)數(shù)據(jù)、秘密、密碼、私人信息、商業(yè)計(jì)劃等。”
與此同時(shí)，Zoom和微軟團(tuán)隊(duì)等視頻會(huì)議軟件的需求也出現(xiàn)了前所未有的激增，因?yàn)樵诠跔畈《敬罅餍衅陂g，世界各地的企業(yè)、學(xué)生、甚至政府雇員都被迫在家里工作和社交。
子域接管漏洞
這個(gè)缺陷源于微軟團(tuán)隊(duì)處理映像資源認(rèn)證的方式。每次打開(kāi)應(yīng)用程序時(shí)，都會(huì)創(chuàng)建一個(gè)訪(fǎng)問(wèn)令牌、一個(gè)JSON Web令牌(JWT)，允許用戶(hù)查看對(duì)話(huà)中個(gè)人或其他人共享的圖像。 微軟團(tuán)隊(duì)的弱點(diǎn)
CyberArk研究人員發(fā)現(xiàn)，可以得到一個(gè)cookie(稱(chēng)為“authtoken”)授予訪(fǎng)問(wèn)資源服務(wù)器(api.spaces.skype.com)，并使用它來(lái)創(chuàng)建上述“skype牌”，使它們不受限制權(quán)限發(fā)送消息和創(chuàng)建組，控制添加用戶(hù)刪除用戶(hù)功能，改變權(quán)限組API。

這還不是全部。因?yàn)閍uthtoken cookie被設(shè)置為發(fā)送到teams.microsoft。研究人員表示，他們發(fā)現(xiàn)了兩個(gè)容易受到收購(gòu)攻擊的子域名(aadsync-test.teams.microsoft.com和data-dev.teams.microsoft.com)。
研究人員表示:“如果攻擊者能夠以某種方式強(qiáng)迫用戶(hù)訪(fǎng)問(wèn)已被接管的子域，受害者的瀏覽器將把這個(gè)cookie發(fā)送到攻擊者的服務(wù)器，
而攻擊者(在收到authtoken之后)可以創(chuàng)建一個(gè)skype令牌。”“在做了所有這些之后，攻擊者可以竊取受害者團(tuán)隊(duì)的賬戶(hù)數(shù)據(jù)。” 現(xiàn)在有了受攻擊的子域，攻擊者可以通過(guò)發(fā)送一個(gè)惡意鏈接(比如GIF)給不知情的受害者或群聊的所有成員來(lái)利用這個(gè)漏洞。因此，當(dāng)收件人打開(kāi)郵件時(shí)，瀏覽器將嘗試加載圖像，但這之前受感染子域authtoken cookie已經(jīng)被獲得。 受害者的屏幕截圖
然后，被入侵的賬戶(hù)會(huì)被濫用這個(gè)authtoken cookie，創(chuàng)建一個(gè)skype令牌，從而訪(fǎng)問(wèn)所有受害者的數(shù)據(jù)。更糟糕的是，任何局外人都可以發(fā)起攻擊，只要交互涉及一個(gè)聊天界面，比如邀請(qǐng)參加一個(gè)潛在工作面試的電話(huà)會(huì)議。
研究人員說(shuō):“受害者永遠(yuǎn)不會(huì)知道他們被攻擊了，這使得利用這一弱點(diǎn)變得隱秘和危險(xiǎn)。”

以視頻會(huì)議為主題的公司攻擊正在上升
隨著COVID-19的流行和對(duì)視頻會(huì)議服務(wù)需求的增加，遠(yuǎn)程工作已經(jīng)成為攻擊者盜取證書(shū)和分發(fā)惡意軟件的一種有利可圖的策略。
來(lái)自Proofpoint和Abnormal Security的最新研究發(fā)現(xiàn)，社交工程活動(dòng)要求用戶(hù)參加Zoom會(huì)議，或通過(guò)點(diǎn)擊旨在竊取登錄憑證的惡意鏈接來(lái)解決Cisco WebEx的安全漏洞。
面對(duì)這些新出現(xiàn)的威脅，建議用戶(hù)小心網(wǎng)絡(luò)釣魚(yú)詐騙，并確保視頻會(huì)議軟件是最新的。