微软在其Teams工作场所视频聊天和协作平台中修补了一个类似蠕虫的漏洞,该漏洞允许攻击者通过向受害者发送看似无害的图像来攻击受害者,但事实证明这是一个恶意链接。输入团队的所有帐户。点我!Cyber??Ark的网络安全研究人员发现了该漏洞,该漏洞会影响该应用程序的桌面版和Web版。在3月23日负责任地披露其调查结果后,微软在4月20日发布的更新中修补了该漏洞。整个组织(像蠕虫一样),”Cyber??Ark的奥马尔·特萨尔法蒂(OmerTsarfati)说。最终,攻击者可以访问您组织的团队帐户的所有数据——收集机密信息、会议信息、竞争数据、秘密、密码、私人信息、商业计划等。与此同时,由于世界各地的企业、学生甚至政府雇员被迫在家工作和社交,对Zoom和MicrosoftTeams等视频会议软件的需求出现了前所未有的激增冠状病毒大流行期间的域接管漏洞该漏洞源于MicrosoftTeams处理图像资源身份验证的方式。打开应用程序,创建访问令牌,即JSONWeb令牌(JWT),允许用户查看图像。MicrosoftTeams弱点Cyber??Ark研究人员发现,可以获取一个cookie(称为“authtoken”)授予对资源服务器(api.spaces.skype.com)的访问权限,并使用它来创建上述“skype令牌”,以便他们不限制发送消息和创建组的权限,控制添加用户和删除用户的能力,以及更改权限组API。那不是全部。因为authtokencookie设置为发送到teams.microsoft。研究人员表示,他们发现了两个易受接管攻击的子域(aadsync-test.teams.microsoft.com和data-dev.teams.microsoft.com)。“如果攻击者能够以某种方式强迫用户访问已被接管的子域,受害者的浏览器会将此cookie发送到攻击者的服务器,攻击者(在收到authtoken后)可以创建一个skype令牌。”“做完这一切后,攻击者就可以窃取受害者团队的账户数据了。”现在有了被攻破的子域,攻击者可以向未知的外遇受害者或群聊的所有成员发送恶意链接(例如GIF)以利用此漏洞。因此,当收件人打开电子邮件时,浏览器将尝试加载图像,但不会在获得受感染的子域authtokencookie之前加载。受害者的屏幕截图受感染的帐户随后会滥用此authtokencookie来创建允许访问所有受害者数据的skype令牌。更糟糕的是,任何局外人都可以发起攻击,只要交互涉及聊天界面,例如邀请参加潜在工作面试的电话会议。研究人员说:“受害者永远不会知道他们受到了攻击,这使得利用这个漏洞变得隐秘和危险。”对视频会议主题公司的攻击呈上升趋势随着服务需求的增加,远程工作已成为攻击者窃取凭证和分发恶意软件的有利可图的策略。Proofpoint和AbnormalSecurity的新研究发现,社会工程活动要求用户通过单击旨在窃取登录凭据的恶意链接来加入Zoom会议或解决CiscoWebEx安全漏洞。面对这些新出现的威胁,建议用户提防网络钓鱼诈骗,并确保他们的视频会议软件是最新的。
