Teams: grave vulnerabilità risolta da Microsoft

Come scoperto dai ricercatori di CyberArk, era sufficiente una GIF per rubare tutti gli account Teams attivi all'interno di un'organizzazione.
Come scoperto dai ricercatori di CyberArk, era sufficiente una GIF per rubare tutti gli account Teams attivi all'interno di un'organizzazione.

Tra gli strumenti dedicati allo smart working che hanno visto letteralmente impennarsi la user base in questo periodo di crisi sanitaria e lavoro da remoto c’è sicuramente Teams. Il servizio non è però del tutto esente da vulnerabilità e problemi legati alla sicurezza, come svela oggi CyberArk: è stata sufficiente una GIF o una semplice immagine per rubare gli account attivi all’interno di un’organizzazione. È bene sottolineare come la falla sia già stata risolta dal Security Research Center di Microsoft in seguito alla segnalazione.

Teams: la vulnerabilità e la GIF

Le potenziali gravi ripercussioni di una simile azione malevola sono ben spiegate in un intervento approfondito sul blog del team (link a fondo articolo). In breve, ogni volta che l’utente apre Teams il client crea un nuovo access token temporaneo (JWT) attraverso un server di autenticazione gestito dal gruppo di Redmond (login.microsoftonline.com). Lo stesso avviene nel caso in cui dal software si effettua l’accesso ad altre piattaforme gestite da Microsoft come SharePoint, Outlook e così via.

La falla di Teams per rubare gli account con una semplice immagine

Poiché le immagini condivise con o da gli altri membri di un gruppo vengono salvate sui server, per accedervi è necessario passare dal processo di autorizzazione. Microsoft lo fa attraverso la creazione di un cookie denominato “Skype Token” o “skypetoken_asm”. Facendo leva su questa dinamica, CyberArk ha scoperto che sfruttando la vulnerabilità di acquisizione di un sottodominio in Microsoft Teams (ad esempio “aadsync-test.teams.microsoft.com” o “data-dev.teams.microsoft.com”) è possibile utilizzare una GIF malevola per rubare i dati degli utenti, solo impostandone l’attributo “src” con riferimento al sottodominio citato poc’anzi che all’apertura del file inoltrerà il token di autenticazione.

CyberArk ha collaborato con Microsoft alla risoluzione della falla

Non era necessario che i diretti interessati la condividessero a loro volta: bastava vederla. Il problema, che come scritto in apertura è stato risolto, ha interessato sia la versione desktop del servizio o sia quella accessibile tramite browser Web.

Fonte: CyberArk
Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti