الأخبار التكنولوجية والاستعراضات والنصائح!

كيف يمكن لصورة أن تسمح للمهاجمين باختراق حسابات Microsoft Teams

قامت Microsoft بتصحيح ثغرة تشبه الديدان في منصة Teams للدردشة والتعاون في مكان العمل ، والتي كان من الممكن أن تسمح للمهاجمين بالاستيلاء على قائمة حسابات Teams الكاملة للمؤسسة فقط عن طريق إرسال المشاركين إلى رابط ضار إلى صورة تبدو بريئة.

تم اكتشاف الخلل ، الذي يؤثر على كل من إصدارات سطح المكتب والويب للتطبيق ، من قبل باحثي الأمن السيبراني في CyberArk. بعد الكشف عن النتائج بشكل مسؤول في 23 مارس ، قامت Microsoft بتصحيح الثغرة الأمنية في تحديث تم إصداره في 20 أبريل.

وقال عمر تسارفاتي من CyberArk "حتى إذا لم يجمع المهاجم الكثير من المعلومات من حساب Teams ، فلا يزال بإمكانهم استخدام الحساب للتنقل عبر المنظمة (مثل الدودة تمامًا)".

"في نهاية المطاف ، يمكن للمهاجم الوصول إلى جميع البيانات من حسابات Teams في مؤسستك – جمع المعلومات السرية والاجتماعات ومعلومات التقويم والبيانات التنافسية والأسرار وكلمات المرور والمعلومات الخاصة وخطط الأعمال وما إلى ذلك."

يأتي هذا التطور في الوقت الذي تشهد فيه برامج مؤتمرات الفيديو مثل Zoom و Microsoft Teams زيادة غير مسبوقة في الطلب حيث تضطر الشركات والطلاب وحتى الموظفين الحكوميين في جميع أنحاء العالم للعمل والاختلاط من المنزل خلال جائحة فيروسات التاجية.

ثغرة استيلاء على نطاق فرعي

ينبع الخلل من طريقة تعامل Microsoft Teams مع المصادقة لموارد الصورة. في كل مرة يتم فتح التطبيق ، يتم إنشاء رمز وصول ، JSON Web Token (JWT) أثناء العملية ، مما يسمح للمستخدم بعرض الصور التي شاركها الفرد أو الآخرون في محادثة.
فرق مايكروسوفت الضعف

وجد باحثو CyberArk أنهم تمكنوا من الحصول على ملف تعريف ارتباط (يسمى "authtoken") يمنح الوصول إلى خادم الموارد (api.spaces.skype.com) ، واستخدمه لإنشاء "رمز سكايب المميز" المذكور أعلاه ، وبالتالي إعطاء لهم أذونات غير مقيدة لإرسال الرسائل ، وقراءة الرسائل ، وإنشاء مجموعات ، أو إضافة مستخدمين جدد أو إزالة مستخدمين من المجموعات ، أو تغيير الأذونات في المجموعات عبر Teams API.

ليس هذا كل شيء. نظرًا لأنه من المقرر إرسال ملف تعريف الارتباط المكتوب تلقائيًا إلى teams.microsoft.team أو أي من نطاقاته الفرعية ، اكتشف الباحثون نطاقين فرعيين (aadsync-test.teams.microsoft.com و data-dev.teams.microsoft.com) كانا عرضة للاختراق للسيطرة على الهجمات.

وذكر الباحثون أنه "إذا استطاع المهاجم إجبار المستخدم بطريقة أو بأخرى على زيارة النطاقات الفرعية التي تم الاستيلاء عليها ، فسيرسل متصفح الضحية ملف تعريف الارتباط هذا إلى خادم المهاجم ، ويمكن للمهاجم (بعد استلام كلمة المرور التلقائية) إنشاء رمز سكايب". . "بعد القيام بكل هذا ، يمكن للمهاجم سرقة بيانات حساب فريق الضحية."
كيف يمكن لصورة أن تسمح للمهاجمين باختراق حسابات Microsoft Teams 1

الآن مسلحًا بالنطاقات الفرعية المخترقة ، يمكن للمهاجم استغلال الخلل بمجرد إرسال رابط ضار ، مثل صورة GIF ، إلى ضحية غير متشككة ، أو إلى جميع أعضاء الدردشة الجماعية. وهكذا عندما يفتح المستلمون الرسالة ، يحاول المتصفح تحميل الصورة ، ولكن ليس قبل إرسال ملفات تعريف الارتباط التي تم فتحها تلقائيًا إلى النطاق الفرعي المخترق.
كيف يمكن لصورة أن تسمح للمهاجمين باختراق حسابات Microsoft Teams 2

يمكن للممثل السيئ بعد ذلك استخدام ملف تعريف الارتباط التلقائي هذا لإنشاء رمز مميز لسكايب وبالتالي الوصول إلى جميع بيانات الضحية. الأسوأ من ذلك ، أنه يمكن شن الهجوم من قبل أي شخص خارجي طالما أن التفاعل يتضمن واجهة دردشة ، مثل دعوة إلى مؤتمر عبر الهاتف لإجراء مقابلة عمل محتملة.

وقال الباحثون "إن الضحية لن تعرف أبدًا أنها تعرضت للهجوم ، مما يجعل استغلال هذا الضعف ضعيفًا وخطيرًا".

ارتفاع معدل الهجمات عبر الفيديو من قبل شركة التداول عن بعد

أصبح التحول إلى العمل عن بعد وسط جائحة COVID-19 المستمر والطلب المتزايد على خدمات مؤتمرات الفيديو تكتيكًا مربحًا للمهاجمين لسرقة أوراق الاعتماد وتوزيع البرامج الضارة.

كشفت الأبحاث الأخيرة من Proofpoint و Abnormal Security عن حملات هندسة اجتماعية تطلب من المستخدمين الانضمام إلى اجتماع Zoom أو معالجة ثغرة أمنية في Cisco WebEx بالنقر فوق الارتباطات الضارة المصممة لسرقة بيانات اعتماد تسجيل الدخول.

في مواجهة هذه التهديدات الناشئة ، من المستحسن أن يراقب المستخدمون حيل الخداع والتأكد من تحديث برامج مؤتمرات الفيديو باستمرار.