ผู้เชี่ยวชาญจาก CyberArk ได้สาธิตการโจมตีเพื่อขโมยบัญชีของผู้ใช้งาน Microsoft Teams เพียงแค่หลอกให้เหยื่อเปิดลิงก์หรือภาพเคลื่อนไหว (GIF)
credit : CyberArk
วิธีการโดยภาพรวมสามารถสรุปเป็นรูปได้ตามภาพด้านบน นั่นคือการหลอกให้เหยื่อเปิดลิงก์อันตรายหรือไฟล์ .GIF เพื่อ Hijack บัญชีของเหยื่อ ทั้งนี้กระทบกับ Microsoft Teams ทั้งเวอร์ชัน Web-based และ Desktop
ไอเดียคือผู้เชี่ยวชาญได้ศึกษาและสังเกตการทำงานของ Microsoft Teams ดังนี้
1.) ทุกครั้งที่เปิดแอปตัว Client จะมีการสร้าง Temporary Access Token เพื่อใช้พิสูจน์ตัวตนกับ login.microsoft.com
2.) มีการสร้าง Token อื่นเพื่อเข้าถึงบริการสนับสนุนเช่น Sharepoint หรือ Outlook
3.) มีการสร้าง Cookies 2 ตัวเพื่อจำกัดการเข้าถึงคือ Authtoken และ Skypetoken_asm โดยตัวหลังจะถูกส่งให้ teams.microsoft.com และโดเมนย่อยภายใต้อื่นๆ ซึ่งตรงนี้เองผู้เชี่ยวชาญพบว่ามี 2 โดเมนย่อยมีช่องโหว่จากการโจมตีแบบ Subdomain takeover ดังนั้นถึงแม้ว่า authtoken ซึ่งเป็น HTTPS จะสามารถป้องกันการส่งข้อมูลไปหาคนอื่นได้ แต่ด้วยช่องโหว่ Subdomain takeover ทำให้คนร้ายสามารถผ่านข้อจำกัดตรงนี้
สุดท้ายแล้วกล่าวคือหากลวงให้ผู้ใช้งานเปิดลิงก์หรือรูป .GIF อันตรายได้ Browser ของผู้ใช้ก็จะยอมส่ง Authentoken Cookie (ถูกใช้เพื่อ Authen ผู้ใช้ให้สามารถโหลดรูปจาก Teams และ Skype) ไปที่เซิร์ฟเวอร์ของคนร้าย เพื่อนำไปสร้าง Skype Token จนนำไปสู่การขโมยข้อมูลบัญชีในที่สุด (ข้อมูลที่ถูกขโมยได้ รูปประกอบด้านล่าง) ผู้สนใจสามารถอ่านและชมรายละเอียดเพิ่มเติมได้จากเว็บของ CyberArk
credit : CyberArk
ปัจจุบัน Microsoft ทราบปัญหาและได้แก้ไขการคอนฟิค DNS ของ Subdomain ที่ผิดพลาดแล้ว ซึ่งเมื่อวันที่ 20 ที่ผ่านมาก็ได้ออกแพตช์เพื่อแก้ไขและป้องกันปัญหาคล้ายกันที่อาจเกิดขึ้นในอนาคต
ที่มา : https://www.zdnet.com/article/this-is-how-viewing-a-gif-in-microsoft-teams-triggers-account-hijacking-bug/ และ https://www.bleepingcomputer.com/news/security/microsoft-teams-patched-against-image-based-account-takeover/
https://www.techtalkthai.com/cyberark-found-microsoft-teams-accounts-could-hijacked-by-gif-picture/