Recentemente a Microsoft corrigiu uma vulnerabilidade do tipo worm em sua plataforma de videoconferencia e colaboração no local de trabalho do Teams.
Esta vulnerabilidade poderia permitir que invasores assumissem o controle de toda lista de contas do Microsoft Teams enviando aos participantes um link malicioso junto a uma imagem.
A falha que impactava as versões desktop e web do aplicativo foi descoberta por pesquisadores de segurança cibernética da CyberArk. Os pesquisadores entraram em contato com a Microsoft em 23 de março e a Microsoft corrigiu a vulnerabilidade quase um mes depois em 20 de abril.
“Mesmo que um invasor não colete muitas informações da conta de uma equipe, ele ainda poderá usá-la para percorrer toda a organização. (como um verme “worm”) “, disse Omer Tsarfati , da CyberArk .
“Eventualmente, o invasor pode acessar todos os dados das contas das equipes da organização – reunindo informações confidenciais, informações sobre reuniões e calendários, dados competitivos, segredos, senhas, informações particulares, planos de negócios etc.”
O impacto de segurança desta vulnerabilidade era tão critica que se a empresa trabalhasse com a suite de aplicativos e serviços “Microsoft 365” toda sua organização poderia ser comprometida.
Um invasor que tiver posse da senha de um funcionario de alto escalão teria acesso a arquivos da no SharePoint Online, arquivos pessoais no OneDrive e toda comunicação deste funcionario no Exchange Online por exemplo.
Já tratamos de outros casos relacionados a vulnarabilidades no site O Cara do TI, aqui e aqui, e sempre reforçamos a importancia da autenticação em duas etapas ou multifatores (2FA) para mitigar a maioria dos problemas relacionados a vulnerabilidade de serviços online.
Vulnerabilidade de controle de subdomínio
A falha decorre da maneira como o Microsoft Teams lida com autenticação para recursos de imagem. Sempre que o aplicativo é aberto, um token de acesso, um JSON Web Token (JWT) é criado durante o processo, permitindo que o usuário visualize imagens compartilhadas pelo indivíduo ou por outras pessoas em uma conversa.
Os pesquisadores da CyberArk descobriram que era possivel se apossar de um cookie (chamado “authtoken”) que concede acesso a um servidor de recursos (api.spaces.skype.com) e o usaram para criar o “token do skype” mencionado acima, fornecendo assim permissões ilimitadas para enviar mensagens, ler mensagens, criar grupos, adicionar novos usuários ou remover usuários de grupos, alterar permissões em grupos por meio da API do Teams.
Isso não é tudo. Como o cookie authtoken deve ser enviado para teams.microsoft.team ou qualquer um de seus subdomínios, os pesquisadores disseram ter descoberto dois subdomínios (aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com) que eram suscetíveis a ataques de controle.
“Se um invasor puder de alguma forma forçar um usuário a visitar os subdomínios que foram controlados, o navegador da vítima enviará esse cookie ao servidor do invasor, e o atacante (após receber o authtoken) poderá criar um token do skype”, afirmaram os pesquisadores . “Depois de fazer tudo isso, o atacante pode roubar os dados da conta da equipe da vítima”.
O Hacker agora armado com os subdomínios comprometidos pode explorar a falha apenas enviando um link malicioso, digamos um GIF, para uma vítima inocente ou para todos os membros de um bate-papo em grupo . Assim, quando os destinatários abrem a mensagem, o navegador tenta carregar a imagem, mas não antes de enviar os cookies de autenticação automática para o subdomínio comprometido.
O hacker pode explorar esse cookie de autenticação automática para criar um token do skype e, portanto, acessar todos os dados da vítima. Pior, o ataque pode ser montado por qualquer pessoa de fora, desde que a interação envolva uma interface de bate-papo, como um convite para uma teleconferência para uma possível entrevista de emprego ou reunião de negocios.
“A vítima nunca saberá que foi atacada, tornando a exploração dessa vulnerabilidade extremamente perigosa”, disseram os pesquisadores.