Spoločnosť CyberArk odhalila závažnú bezpečnostnú chybu v jednej z najpopulárnejších komunikačných platforiem Microsoft Teams. Tá cez príjem externých médií umožňovala získať overovací token adresáta a ukradnúť správy všetkých ľudí v komunikačnom kanále.
Aplikácia používa na sťahovanie médií zo serverov Microsoftu takzvané prístupové tokeny, ktoré majú zaručiť, že daný obsah uvidí len príjemca. Tieto tokeny sa vytvoria pri každom prihlásení do klienta a v podobe cookies sa odosielajú na subdomény teams[.]microsoft[.]com. Firma však objavila dve deravé subdomény.
Ak by ich útočník ovládal a presmeroval by na ne svoju obeť, získal by jej cookies s overovacím tokenom. Pomocou neho by dokázal čítať jej správy, manipulovať so skupinami či dokonca ovládať konto.
CyberArc demonštroval tento útok s neškodným pohyblivým GIF obrázkom a upraveným JavaScript atribútom, ktorý presmerovával tokeny na podvrhnutú subdoménu. Pre jeho získanie stačilo obeti odoslať obrázok a počkať, kým si správu neotvorí a jej aplikácia neodošle potrebný token.
„V konečnom dôsledku by útočník mohol získať prístup k všetkým dátam z firemných účtov na Teams – utajovaným informáciám, konkurenčným dátam, tajomstvám, heslám, osobným informáciám, obchodným plánom,“ priblížil pre Computer Weekly výskumník Omer Tsarfati.
Firma upozornila Microsoft na chybu už 23. marca, ktorý zraniteľné subdomény obratom zaplátal.
Podľa profesora Alana Woodwarda z University of Surrey sa podobné zraniteľnosti objavili už v minulosti, keď aplikácie zlyhali v potrebných kontrolách pri sťahovaní obsahu zo serverov.
„Je to dobrý príklad tzv. útoku bez kliknutia. Funguje tak, že si stačí pozrieť GIF obrázok, a netreba tak kliknúť na žiaden nebezpečný odkaz ani otvoriť podvrhnutý dokument,“ podotkol pre BBC.
(KU)