Vulnerabilità Microsoft Teams. Ti buco con una GIF!

Microsoft Teams Attack

Con l’aumento dell’uso delle piattaforme di videoconferenza sia per lavoro che per didattica a distanza, la battaglia tra le grandi aziende tecnologiche continua a cercare di impadronirsi di un mercato che prima della pandemia era quasi inesistente. Con  l’aumento dell’uso di queste risorse si sono evidenziate molteplici falle di sicurezza.

Microsoft Teams

02/novembre/2016 – Da Microsoft

“Microsoft Teams è un’esperienza completamente nuova che riunisce persone, conversazioni e contenuti – insieme agli strumenti di cui i team hanno bisogno – in modo da poter collaborare facilmente per ottenere di più. È naturalmente integrato con le note applicazioni Office ed è costruito da zero sul cloud globale e sicuro Office 365. A partire da oggi, Microsoft Teams è disponibile in anteprima in 181 paesi e in 18 lingue per i clienti commerciali con Office 365 Enterprise o Business plan, con disponibilità generale prevista per il primo trimestre del 2017.

https://www.microsoft.com/en-us/microsoft-365/blog/2016/11/02/introducing-microsoft-teams-the-chat-based-workspace-in-office-365/

 

Vulnerabilità Microsoft Teams
Vulnerabilità Microsoft Teams



Nel novembre 2016, Microsoft ha aggiunto un nuovo strumento alla suite di servizi Office 365 – Microsoft Teams. Teams è uno strumento di collaborazione basato sulla chat che fornisce ai team globali, remoti e distribuiti la possibilità di lavorare insieme e condividere informazioni attraverso uno spazio comune. È possibile utilizzare funzionalità interessanti come la collaborazione di documenti, la chat individuale, la chat di gruppo e molto altro ancora. Microsoft Teams è anche completamente integrato con molti altri servizi di Office 365, come Skype, SharePoint, Exchange e Yammer.

La vulnerabilità.

Uno dei più recenti rischi per la sicurezza ha a che fare con una GIF  che potrebbe aver permesso  di rubare informazioni da alcuni account Microsoft Teams sfruttando una vulnerabilità per prendere il pieno controllo delle reti di un’organizzazione. Questo problema è stato rilevato a partire dalla fine di febbraio ed è noto per essere rimasto attivo fino a un paio di settimane fa. La vulnerabilità è stata risolta il 20 aprile, per cui non si prevedono più attacchi simili. (Si spera)

 

Vulnerabilità Microsoft Teams
Vulnerabilità Microsoft Teams

Questa vulnerabilità era presente in tutte le versioni di Microsoft Teams per desktop e browser web. Il problema risiedeva nel modo in cui questo software gestisce i token di autenticazione per la visualizzazione delle immagini.

 



Microsoft gestisce questi token sul suo server che si trova su team.microsoft.com o su qualsiasi sottodominio sotto questo indirizzo. Purtroppo per Microsoft, è stato possibile dirottare due di questi sottodomini (aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com) per scopi non certo benevoli.

Si afferma che , se un “attaccante” è riuscito a far visitare a un utente target uno dei sottodomini compromessi, i token di autenticazione potevano essere spostati su un server controllato dagli hacker. In seguito, “gli attaccanti” potrebbero creare un “token skype” per accedere alle implementazioni del Microsoft Team.

Fino a questo momento si è parlato solo di diffusione della GIF attraverso una campagna di phishing. Gli esperti hanno tuttavia individuato l’uso di un GIF maligno (un’immagine di Paperino); visualizzando questo file, i computer compromessi sarebbero costretti a rinunciare al token di autenticazione, rinunciando così ai propri dati. Questo era possibile perché la fonte della GIF era di un sottodominio compromesso con il quale il team comunicherà automaticamente per visualizzare l’immagine.

Si è detto che gli aggressori richiedessero all’utente bersaglio soltanto la visualizzazione di una GIF. ( Cosa che alcune volte può capitare anche all’utente più attento)

Microsoft ha corretto immediatamente la vulnerabilità e sta monitorando le implementazioni del Microsoft Team per individuare eventuali attività dannose collegate a questa piattaforma.

Da quanto tempo la stavano sfruttando questa falla ? Da tanto, tanto tempo !