SUSE by Ingram

พบช่องโหว่สามารถ Hijack บัญชี Microsoft Teams ด้วยรูป GIF

ผู้เชี่ยวชาญจาก CyberArk ได้สาธิตการโจมตีเพื่อขโมยบัญชีของผู้ใช้งาน Microsoft Teams เพียงแค่หลอกให้เหยื่อเปิดลิงก์หรือภาพเคลื่อนไหว (GIF)

credit : CyberArk

วิธีการโดยภาพรวมสามารถสรุปเป็นรูปได้ตามภาพด้านบน นั่นคือการหลอกให้เหยื่อเปิดลิงก์อันตรายหรือไฟล์ .GIF เพื่อ Hijack บัญชีของเหยื่อ ทั้งนี้กระทบกับ Microsoft Teams ทั้งเวอร์ชัน Web-based และ Desktop

ไอเดียคือผู้เชี่ยวชาญได้ศึกษาและสังเกตการทำงานของ Microsoft Teams ดังนี้

1.) ทุกครั้งที่เปิดแอปตัว Client จะมีการสร้าง Temporary Access Token เพื่อใช้พิสูจน์ตัวตนกับ login.microsoft.com

2.) มีการสร้าง Token อื่นเพื่อเข้าถึงบริการสนับสนุนเช่น Sharepoint หรือ Outlook

3.) มีการสร้าง Cookies 2 ตัวเพื่อจำกัดการเข้าถึงคือ Authtoken และ Skypetoken_asm โดยตัวหลังจะถูกส่งให้ teams.microsoft.com และโดเมนย่อยภายใต้อื่นๆ ซึ่งตรงนี้เองผู้เชี่ยวชาญพบว่ามี 2 โดเมนย่อยมีช่องโหว่จากการโจมตีแบบ Subdomain takeover ดังนั้นถึงแม้ว่า authtoken ซึ่งเป็น HTTPS จะสามารถป้องกันการส่งข้อมูลไปหาคนอื่นได้ แต่ด้วยช่องโหว่ Subdomain takeover ทำให้คนร้ายสามารถผ่านข้อจำกัดตรงนี้ 

สุดท้ายแล้วกล่าวคือหากลวงให้ผู้ใช้งานเปิดลิงก์หรือรูป .GIF อันตรายได้ Browser ของผู้ใช้ก็จะยอมส่ง Authentoken Cookie (ถูกใช้เพื่อ Authen ผู้ใช้ให้สามารถโหลดรูปจาก Teams และ Skype) ไปที่เซิร์ฟเวอร์ของคนร้าย เพื่อนำไปสร้าง Skype Token จนนำไปสู่การขโมยข้อมูลบัญชีในที่สุด (ข้อมูลที่ถูกขโมยได้ รูปประกอบด้านล่าง) ผู้สนใจสามารถอ่านและชมรายละเอียดเพิ่มเติมได้จากเว็บของ CyberArk 

credit : CyberArk

ปัจจุบัน Microsoft ทราบปัญหาและได้แก้ไขการคอนฟิค DNS ของ Subdomain ที่ผิดพลาดแล้ว ซึ่งเมื่อวันที่ 20 ที่ผ่านมาก็ได้ออกแพตช์เพื่อแก้ไขและป้องกันปัญหาคล้ายกันที่อาจเกิดขึ้นในอนาคต

ที่มา :  https://www.zdnet.com/article/this-is-how-viewing-a-gif-in-microsoft-teams-triggers-account-hijacking-bug/ และ  https://www.bleepingcomputer.com/news/security/microsoft-teams-patched-against-image-based-account-takeover/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Citrix เข้าซื้อกิจการ Wrike ระบบ Work Management สำหรับองค์กรมูลค่า 67,500 ล้านบาท

Citrix ได้ออกมายืนยันถึงการเข้าซื้อ Wrike ธุรกิจ Startup ที่เติบโตมาเป็นระบบ Work Management Platform สำหรับธุรกิจองค์กรที่มูลค่า 2,250 ล้านเหรียญหรือราวๆ 67,500 ล้านบาท

รู้จักกับแนวทาง Unified Fast File and Object (UFFO) สำหรับจัดเก็บข้อมูลสมัยใหม่เพื่อนำไปใช้วิเคราะห์ประมวลผลได้อย่างง่ายดาย

ท่ามกลางยุคสมัยที่ข้อมูลใหม่ๆ ถูกสร้างขึ้นอยู่ตลอดเวลา และความต้องการในการนำข้อมูลไปใช้ต่อยอดสร้างโอกาสใหม่ๆ ให้กับธุรกิจนั้นเกิดขึ้นอย่างต่อเนื่อง แนวทางการในการจัดเก็บข้อมูลเพื่อให้พร้อมต่อการนำไปใช้อยู่เสมอนั้นจึงกลายเป็นโจทย์สำคัญโจทย์หนึ่งขององค์กร