Во время пандемии коронавирусной инфекции COVID-19 все большую популярность набирают программные средства для проведения видеоконференций — работникам «на удаленке» тоже нужны митинги, планерки, пятиминутки и разносы от начальства в режиме онлайн. Безоговорочным лидером сейчас является Zoom, однако у него есть масса проблем с безопасностью и конфиденциальностью. Казалось бы — вот то преимущество, за которое могут зацепиться конкуренты, но и у них далеко не все в порядке, как показывает недавно раскрытая уязвимость в Microsoft Teams.
Аналог Zoom от Microsoft можно было взломать одной «гифкой»

В течение как минимум трех недель с конца февраля до середины марта всего одна вредоносная картинка в формате GIF могла скомпрометировать пользовательские данные учетных записей этого сервиса. Причем не какого-то одного участника конференции, а, возможно, всей компании, и взять под контроль «весь список учетных записей команд». Соответствующая уязвимость была исправлена ​​20 апреля, так что пользователи теперь защищены от этой конкретной атаки. Но это говорит о том, что не только Zoom страдает от брешей в защите.

Уязвимость затрагивала все версии Microsoft Teams для настольных компьютеров и веб-браузеров. Проблема заключалась в том, как Microsoft обрабатывает токены аутентификации для просмотра изображений в командах — специальные файлаы, которые подтверждают, что «законный» пользователь получает доступ к учетной записи команды. Эти токены обрабатываются Microsoft на ее сервере, расположенном по адресу teams.microsoft.com, или на любом поддомене по этому адресу. Специалисты компании CyberArk обнаружили, что существовала возможность захватить два из этих поддоменов — aadsync-test.teams.microsoft.com и data-dev.teams.microsoft.com.

Они выяснили, что если хакер может заставить цель посетить захваченные поддомены, токены аутентификации будут переданы на сервер злоумышленника. Затем они могли создать другой токен — Skype, который предоставлял им доступ, необходимый для кражи данных учетной записи команды жертвы.

Очевидным способом убедить пользователя посетить скомпрометированные поддомены является классическая фишинговая атака, при которой хакер отправляет целевую ссылку и пытается заставить жертву щелкнуть по ней. Но исследователи CyberArk сочли это слишком очевидным, поэтому создали «злой» GIF-файл с Дональдом Даком, который при простом просмотре заставил бы учетную запись команды жертвы отказаться от своего токена аутентификации и, следовательно, своих данных. Это происходило потому, что источником GIF был скомпрометированный поддомен, и приложение автоматически связывалось с ним для просмотра изображения. По словам специалистов по кибербезопасности, хакеры могли использовать уязвимость, создав червя и распространив атаку от одного пользователя к другому, формируя массовое «заражение».

Тот факт, что жертве нужно только увидеть созданное сообщение, с которым не нужно взаимодействовать, является кошмаром с точки зрения безопасности. Каждая учетная запись, которая могла быть затронута этой уязвимостью, могла также стать точкой распространения для всех других учетных записей компании. В конечном итоге злоумышленник может получить доступ ко всем данным из учетных записей команд вашей организации, собирая конфиденциальную информацию, конкурентные данные, секреты, пароли, личную информацию, бизнес-планы.

Такие атаки называются 0-click, то есть атаки нулевого количества кликов. Обычно, их очень трудно выявить, а следовательно — и предотвратить. На текущий момент признаков использования данной уязвимости не зафиксировано. Она была исправлена ​​20 апреля, но еще 23 марта компания Microsoft предприняла меры для того, чтобы уязвимые поддомены не могли быть взломаны. Как долго ошибка существовала в Teams пока неясно. Данный сервис является не просто средством для видеоконференций, а развитой площадкой для совместной работы. Учетные записи в нем могут содержать большое количество важных и конфиденциальных сведений, а их компрометация или кража — принести большой ущерб компании-клиенту.