Teams, Slack, Discord, o forse Zoom? Quali applicazioni utilizzate? Sono tutte estremamente diffuse tra gli utenti aziendali, ma si sono rivelate a dir poco indispensabili in questo periodo in cui le imprese stanno facendo il possibile per rimanere in contatto con dipendenti, clienti e partner.

Oggi tutto viene fatto a distanza, dai colloqui alle riunioni di lavoro, fino agli incontri sociali. E, ora più che mai, queste piattaforme costituiscono il nostro “go-to” per relazionarci con l’esterno, da una
semplice chiacchierata con un collega a una riunione con clienti e partner. La quantità di dati che confluiscono in queste applicazioni è enorme e spesso include informazioni riservate, che vanno dal nome utente e password fino a dati aziendali top-secret, rendendole il bersaglio principale degli aggressori. Immaginate il seguente scenario: un hacker invia una GIF o un’immagine a una vittima e ottiene il controllo del suo account. È proprio così che funziona questa vulnerabilità e il malintenzionato ha la possibilità di assumere il controllo dell’intera lista di account Microsoft Teams di un’organizzazione.

I ricercatori di CyberArk hanno riassunto i punti chiave di questa scoperta:

  • Poiché sono sempre più numerose le trattative che vengono condotte da sedi remote, gli aggressori stanno concentrando i loro sforzi sullo sfruttamento di tecnologie – come Zoom e Microsoft Teams – da cui aziende e personale dipendono per rimanere in contatto.
  • Abbiamo scoperto che, sfruttando una vulnerabilità di acquisizione di un sottodominio in Microsoft Teams, gli aggressori possono utilizzare una GIF malevola per rubare i dati degli utenti e, in ultima analisi, assumere il controllo dell’intera lista di account Teams di un’organizzazione.
  • Non è necessario che gli utenti condividano la GIF per essere colpiti, è sufficiente vederla, quindi questo attacco ha la capacità di diffondersi automaticamente.
  • Si tratta di una vulnerabilità che avrebbe colpito tutti gli utenti che utilizzano la versione desktop browser web di Teams.
  • CyberArk ha collaborato con il Microsoft Security Research Center dopo aver identificato la vulnerabilità che è stata rapidamente corretta.

Come funziona l’attacco?

CyberArk ha notato un comportamento piuttosto inusuale nel processo di autenticazione delle risorse d’immagine. Ogni qualvolta viene aperto Teams, viene generato un codice di accesso univoco (token) direttamente dal server e viene utilizzato per permettere agli utenti di visualizzare le risorse condivise durante una chiamata, in quanto tali risorse sono archiviate direttamente nei server di Teams, che quindi danno l’autorizzazione alla visualizzazione. In alcuni casi però si possono riscontrare problemi di visualizzazioni se non si conosce il token di accesso. Per questo Microsoft ha escogitato un metodo, che utilizza un semplice codice JavaScript, per ricavare il contenuto delle immagini e passarlo come risorsa in un semplice tag d’immagine. Un altro esempio può essere quello di passare il link alla risorsa usando un token criptato tramite funzione hash o simili, come nel caso di Facebook.

Ecco quindi un esempio di come Microsoft Teams permette la visualizzazione delle immagini:

<img ng-show="!giphyCtrl.playVideo" ng-src="https://media2.giphy.com/media/gB4KWtd3uSsJq/giphy.gif" height="240" width="480" load-image-handler src="https://media2.giphy.com/media/gB4KWtd3uSsJq/giphy.gif">

In questo caso il problema risiede nei permessi di accesso alla risorsa, in quanto Teams non potrebbe capire se la risorsa condivisa viene vista solo dagli utenti consentiti. La soluzione sta nella creazione di due token specifici, chiamati authtoken e skypetoken_asp. Questi due codici sono necessari per autorizzare la richiesta all’invio di messaggi, con il primo che genera il secondo a richiesta ultimata. L’authtoken è indirizzato ad uno specifico dominio api.spaces.skype.com, che però non è in grado di gestire particolari richieste come la lettura ed invio di messaggi, cosa che va a compromettere gravemente il controllo sui contenuti di tali messaggi. Per generare lo skypetoken, Teams utilizza solamente un token, che è proprio l’authtoken e che si può ottenere analizzando i cookie della piattaforma. Dunque una volta ottenuti entrambi i token di accesso, un possibile attaccante può sfruttare l’invio di una GIF per reindirizzare un utente verso un server esterno, generando un nuovo skypetoken, e permettendo così l’exploit e il furto dei dati sensibili. In questo modo un hacker può anche prendere possesso di un’intera chiamata, gestendo completamente gli utenti e le loro azioni.

I ricercatori hanno immediatamente contattato il team di ricerca dell’applicazione, che fortunatamente è riuscita tempestivamente a risolvere il problema rimuovendo i riferimenti DNS ai domini che risultavano colpiti dalla vulnerabilità e che riguardavano sia l’app per desktop che per browser. Dunque attualmente la situazione dovrebbe essersi risolta.

Dopo il furto di dati sulla piattaforma Zoom, anche Teams è caduta nel mirino dei cybercriminali, fortunatamente per poco tempo.

Fonte: CyberArk

Di Marco Nisticò

Sviluppatore informatico, cerco sempre di stare al passo con i tempi in un mondo ormai circondato dalla tecnologia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.