พบช่องโหว่สามารถ Hijack บัญชี Microsoft Teams ด้วยรูป GIF

ผู้เชี่ยวชาญจาก CyberArk ได้สาธิตการโจมตีเพื่อขโมยบัญชีของผู้ใช้งาน Microsoft Teams เพียงแค่หลอกให้เหยื่อเปิดลิงก์หรือภาพเคลื่อนไหว (GIF)

credit : CyberArk

วิธีการโดยภาพรวมสามารถสรุปเป็นรูปได้ตามภาพด้านบน นั่นคือการหลอกให้เหยื่อเปิดลิงก์อันตรายหรือไฟล์ .GIF เพื่อ Hijack บัญชีของเหยื่อ ทั้งนี้กระทบกับ Microsoft Teams ทั้งเวอร์ชัน Web-based และ Desktop

ไอเดียคือผู้เชี่ยวชาญได้ศึกษาและสังเกตการทำงานของ Microsoft Teams ดังนี้

1.) ทุกครั้งที่เปิดแอปตัว Client จะมีการสร้าง Temporary Access Token เพื่อใช้พิสูจน์ตัวตนกับ login.microsoft.com

2.) มีการสร้าง Token อื่นเพื่อเข้าถึงบริการสนับสนุนเช่น Sharepoint หรือ Outlook

3.) มีการสร้าง Cookies 2 ตัวเพื่อจำกัดการเข้าถึงคือ Authtoken และ Skypetoken_asm โดยตัวหลังจะถูกส่งให้ teams.microsoft.com และโดเมนย่อยภายใต้อื่นๆ ซึ่งตรงนี้เองผู้เชี่ยวชาญพบว่ามี 2 โดเมนย่อยมีช่องโหว่จากการโจมตีแบบ Subdomain takeover ดังนั้นถึงแม้ว่า authtoken ซึ่งเป็น HTTPS จะสามารถป้องกันการส่งข้อมูลไปหาคนอื่นได้ แต่ด้วยช่องโหว่ Subdomain takeover ทำให้คนร้ายสามารถผ่านข้อจำกัดตรงนี้ 

สุดท้ายแล้วกล่าวคือหากลวงให้ผู้ใช้งานเปิดลิงก์หรือรูป .GIF อันตรายได้ Browser ของผู้ใช้ก็จะยอมส่ง Authentoken Cookie (ถูกใช้เพื่อ Authen ผู้ใช้ให้สามารถโหลดรูปจาก Teams และ Skype) ไปที่เซิร์ฟเวอร์ของคนร้าย เพื่อนำไปสร้าง Skype Token จนนำไปสู่การขโมยข้อมูลบัญชีในที่สุด (ข้อมูลที่ถูกขโมยได้ รูปประกอบด้านล่าง) ผู้สนใจสามารถอ่านและชมรายละเอียดเพิ่มเติมได้จากเว็บของ CyberArk 

credit : CyberArk

ปัจจุบัน Microsoft ทราบปัญหาและได้แก้ไขการคอนฟิค DNS ของ Subdomain ที่ผิดพลาดแล้ว ซึ่งเมื่อวันที่ 20 ที่ผ่านมาก็ได้ออกแพตช์เพื่อแก้ไขและป้องกันปัญหาคล้ายกันที่อาจเกิดขึ้นในอนาคต

ที่มา :  https://www.zdnet.com/article/this-is-how-viewing-a-gif-in-microsoft-teams-triggers-account-hijacking-bug/ และ  https://www.bleepingcomputer.com/news/security/microsoft-teams-patched-against-image-based-account-takeover/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Intel พัฒนาชิปใหม่ ช่วยป้องกันการโจมตีด้วยฮาร์ดแวร์

Intel เผยโครงการพัฒนาชิปใหม่ Tunable Replica Circuit (TRC) ซึ่งออกแบบมาใช้สำหรับป้องกันการโจมตีทางไซเบอร์ที่ใช้ฮาร์ดแวร์เป็นเส้นทางในการโจมตี โดยมีความสามารถในการตรวจจับการโจมตีทั่วไปที่เกิดจาก Hardware-based ได้ และสามารถแจ้งผู้ดูแลระบบในทราบถึงเหตุการณ์ที่เกิด พร้อมกับช่วยป้องกันกันการโจมตีนั้นๆ

Cisco โดนแฮ็กโดยแก๊งแรนซัมแวร์ Yanluowang

Cisco ออกมายอมรับว่า ได้ถูกแก๊งแรนซัมแวร์ Yanluowang ลุกล้ำเข้ามาในเครือข่ายขององค์กรจริง เหตุการณ์เกิดขึ้นเมื่อช่วงปลายเดือนพฤษภาคมที่ผ่านมา และยังถูกรีดไถจากไฟล์ข้อมูลที่ถูกโจรกรรมออกไป