Teams: una GIF per rubare l’account

28 Aprile 2020 Marina Londei
Teams vulnerabilità GIF

Teams vulnerabile a un attacco tramite gif. Credits: punto-informatico.it

Videoconferenze e problemi di sicurezza: quante volte ne abbiamo sentito parlare negli ultimi mesi? Se prima c’era Zoom al centro della bufera, adesso anche Teams si è rivelato non essere immune alle vulnerabilità.

L’attacco consiste in una semplice GIF inviata all’ applicazione: basta che l’utente apra la chat e veda la GIF per essere vittima dell’hacking. Fortunatamente sembra che nessuno abbia sfruttato questa vulnerabilità, e Microsoft ha già provveduto a rilasciare una patch di sicurezza. A trovarla e segnalarla è stata CyberArk, azienda di consulenza nella sicurezza informatica.

Teams e la “evil GIF”

Può una semplice GIF scatenare un attacco così grave? A quanto pare sì. Ovviamente le cose sono molto più complesse, e l’immagine è solo il mezzo per sfruttare la vulnerabilità, che risiede nel modo in cui Teams utilizza e passa l’access token d’autenticazione per scaricare e visualizzare le immagini.

Un esempio di come gli attaccanti possono utilizzare la vulnerabilità. Credits: cyberyark.com
Un esempio di come gli attaccanti possono utilizzare la vulnerabilità. Credits: cyberyark.com

Ogni volta che un utente accede a Teams viene creato un access token JWT tramite il server di autenticazione (login.microsoftonline.com). Altri token vengono generati durante la sessione, come ad esempio quelli per visualizzare le immagini sui server Microsoft. In particolare, per le immagini viene utilizzato un token chiamato skypetoken_asm.

Oltre a questo token viene utilizzato un cookie chiamato authtoken. I token vengono inviati nell’header della request ogni volta che viene effettuata una chiamata alle API. Ottenuti i token, per un attaccante è possibile performare tutta una serie di azioni, quali leggere messaggi dell’utente, creare gruppi, aggiungere o rimuovere utenti da essi, modificare permessi, e così via.

Il cookie authttoken. Credits: cyberark.com
Il cookie authttoken. Credits: cyberark.com

Il cookie viene inviato solo al dominio teams.microsoft.com o ogni sottodominio di esso. E proprio i sotto-domini sono al centro dell’attacco: ne esistono due, aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com, che sono vulnerabili al subdomain takeover. Il passo successivo è impostare l’attributo src della GIF settato al sotto-dominio compromesso dall’attaccante. L’utente, ricevendo la GIF e cliccandovi sopra per caricarla, invierà la richiesta con l’authtoken al sotto-dominio.

GIF su Microsoft Teams. Credits: cyberark.com
GIF sulla chat di Microsoft Teams. Credits: cyberark.com

Sempre più vulnerabili

Come anticipato, Microsoft ha già rilasciato delle patch di sicurezza per la vulnerabilità individuata. Reso noto solo in questi giorni, il bug è stato risolto il 20 Aprile e individuato a inizio mese, e coinvolgeva sia l’applicazione web che quella desktop.

In questo periodo in cui gli strumenti di videoconferenza e chat vengono usati ampiamente è importante mantenere aggiornate le applicazioni e attenersi alle direttive della propria per l’installazione dei programmi.