พบช่องโหว่บน Microsoft Teams โดยช่องโหว่สามารถ Hijack บัญชีได้ด้วยรูป GIF

Microsoft ได้ออกแพตช์แก้ไขปัญหาด้านความปลอดภัยใน Microsoft Teams ซึ่งแฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่ที่มีความต่อเนื่องกันทำการขโมยบัญชี Microsoft Teams ทั้งหมดที่อยู่ในองค์กรโดยการลิ้งค์ส่ง URL ที่เป็นอันตรายหรือรูปภาพ .GIF ไปยังผู้ใช้ Microsoft Team ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Microsoft Teams สองเวอร์ชั่นได้เเก่ เวอร์ชั่นเดสก์ท็อปและเวอร์ชั่นที่ใช้งานผ่านเว็บเบราว์เซอร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก CyberArk ได้ทำการทดสอบช่องโหว่พบว่าทุกครั้งที่ทำการเปิดแอปพลิเคชันไคลแอนต์จะพบว่ามีการสร้าง Temporary Access Token เพื่อใช้พิสูจน์ตัวตนกับ login.microsoft.com หลังจากนั้นจะทำการสร้าง Token เพื่อเข้าถึงบริการสนับสนุนอื่นๆ เช่น Sharepoint หรือ Outlook

นักวิจัยยังกล่าวอีกว่าหลังจากเปิดแอปพลิเคชันไคลแอนต์จะมีการสร้างคุกกี้ขึ้นมา 2 ตัวเพื่อจำกัดการเข้าถึงคือ Authtoken และ Skypetoken_asm โดย Skypetoken_asm จะถูกส่งไปยัง teams.microsoft.com และซับโดเมนย่อยภายใต้อื่นๆ ซึ่งผู้เชี่ยวชาญพบว่ามี 2 ซับโดเมนย่อยมีความเสี่ยงของช่องโหว่จากการโจมตีแบบ Subdomain takeover คือ aadsync-test.teams.microsoft.com และ data-dev.teams.microsoft.com

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพียงแค่ส่งลิงค์ที่เป็นอันตรายเช่นรูปภาพ .GIF ไปยังเหยื่อหรือสมาชิกทั้งหมดที่อยู่ในแชทกลุ่ม จากนั้นเมื่อผู้รับเปิดข้อความจากลิงค์ที่เป็นอันตรายเช่นรูปภาพ .GIF เบราว์เซอร์จะทำการส่งคุกกี้ “authtoken” ไปยังซับโดเมนที่ถูกบุกรุก เมื่อผู้โจมตีได้รับ Token “Authtoken” ผู้โจมตีสามารถสร้าง Token “Skypetoken_asm” เพื่อเข้ายึดบัญชีของเหยื่อ ผู้โจมตีสามารถเข้าใช้บัญชีของเหยื่อและสามารถอ่าน, ส่งข้อความ, เพิ่มหรือลบผู้ใช้, เปลี่ยนการอนุญาตและสามารถสร้างกลุ่มได้ การโจมตีสามารถเกิดได้ได้โดยผู้โจมตีหรือผู้ไม่หวังดีการส่งคำเชิญไปยังการประชุมทางโทรศัพท์และหลอกล่อให้เหยื่อเปิดข้อความ

การอัพเดตความปลอดภัย

Microsoft ได้รับรายงานปัญหาในช่องโหว่ดังกล่าวจึงได้ทำการเเก้ไขคอนฟิค DNS ของซับโดเมนและได้ออกแพทช์เพื่อลดความเสี่ยงของข้อบกพร่องที่คล้ายกันที่อาจเกิดขึ้นในอนาคต ผู้ใช้งานควรทำการตรวจสอบคำเชิญการประชุมทุกครั้งถ้าพบว่าคำเชิญการประชุมมาจากบุคลที่ไม่รู้จักไม่ควรคลิกเข้าร่วมการประชุมเพื่อป้องกันการยึดครองบัญชีผู้ใช้

ที่มา:

zdnet.com
bleepingcomputer.com
securityaffairs.co
hackread.com