Come un'immagine avrebbe potuto compromettere il tuo account Microsoft Teams
Ormai le piattaforme di comunicazione e sharing online sono parte integrante della nostra quotidianità lavorativa e non e di questo si sono accorti, sfortunatamente anche i criminal hacker
Ormai le piattaforme di comunicazione e sharing online sono parte integrante della nostra quotidianità lavorativa e non e di questo si sono accorti, sfortunatamente anche i criminal hacker. Per questo motivo, oggi più che mai, i software developer stanno cercando di agire e intervenire il più rapidamente possibile per chiudere le possibili vulnerabilità che mano a mano stanno emergendo nei vari prodotti utilizzati per il web conferencing.
È questo il caso di Microsoft.
Negli ultimi giorni l'azienda di Seattle ha dovuto rimediare a una vulnerabilità sulla sua piattaforma Teams che avrebbe potuto permettere agli aggressori di prendere il controllo dell'intera lista di account di un'organizzazione semplicemente inviando ai partecipanti un link dannoso o un'immagine dall'aspetto innocente.
La criticità, che ha avuto un impatto sia sulla versione desktop sia su quella mobile, è stato scoperta verso la fine di marzo da un gruppo di ricercatori statunitensi. Certo, anche se un aggressore non raccoglie molte informazioni violando un singolo account di un Teams, può comunque utilizzarlo per "passare in rassegna" tutta l'organizzazione bersaglio (proprio come un worm). Così facendo il criminal hacker potrebbe accedere a tutti i dati degli account Teams dell'organizzazione - raccogliendo informazioni riservate, riunioni e informazioni sul calendario, dati sulla concorrenza, segreti, password, informazioni private, piani aziendali, ecc...
Questa notizia fa da contorno all'esplosione di popolarità di software di videoconferenza come Zoom e Microsoft Teams che stanno assistendo a un'impennata senza precedenti della domanda, poiché le aziende, gli studenti e persino i dipendenti governativi di tutto il mondo sono costretti a lavorare e socializzare da casa durante la pandemia del coronavirus.
I Dettagli della vulenerabilità
Il difetto deriva dal modo in cui Microsoft Teams gestisce l'autenticazione delle immagini. Ogni volta che l'app viene aperta, viene creato un token di accesso, un Web Token JSON (JWT) durante il processo, che consente all'utente di visualizzare le immagini condivise dall'individuo o da altri in una conversazione. I ricercatori hanno scoperto che procurandosi un cookie (chiamato "authtoken") è possibile ottenere l'accesso ad un server di risorse (api.spaces.skype.com) e lo hanno utilizzato per creare il suddetto "token skype", dando loro così il permesso di inviare messaggi, leggere messaggi, creare gruppi, aggiungere nuovi utenti o rimuovere utenti dai gruppi e modificare i permessi nei gruppi tramite le API di Teams.
Ma non è tutto. Poiché il cookie authtoken è impostato per essere inviato a teams.microsoft.team o a uno qualsiasi dei suoi sottodomini, i ricercatori hanno scoperto due sottodomini (aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com) che erano vulnerabili agli attacchi di subdomain take-over (l'attacco che permette, attraverso la registrazione di un dominio inesistente, di ottenere il controllo su un altro dominio). Se un criminal hacker fosse in grado in qualche modo costringere un utente a visitare i sottodomini che sono stati impostati ad hoc in questo modo, il browser della vittima invierà questo cookie al server dell'aggressore e l'aggressore (dopo aver ricevuto l'authtoken) potrà creare un token skype con cui rubare i dati dell'account Teams della vittima.
Ora, armato dei sottodomini compromessi, l'aggressore potrebbe quindi sfruttare la vulnerabilità semplicemente inviando un link maligno, ad esempio una GIF, a una vittima ignara o a tutti i membri di una chat di gruppo. Così facendo, quando i destinatari aprono il messaggio, il browser tenterà di caricare l'immagine, ma non prima di aver inviato i cookie di autenticazione al sottodominio compromesso. La scarsa rivelabilità di questo attacco fa si che la vittima non saprà mai di essere stata colpita, rendendo lo sfruttamento di questa vulnerabilità doppiamente pericoloso. Microsoft, dal canto suo, ha rilasciato una patch per risolvere la vulnerabilità lo scorso 20 aprile. Per chi non l'avesse ancora fatto è fortemente consigliato aggiornare immediatamente la piattaforma.
Perché il Video Conferencing fa gola
Il passaggio al lavoro a distanza in mezzo alla pandemia in corso di Covid-19 e l'aumento della domanda di servizi di videoconferenza sono diventati una tattica lucrativa per gli aggressori per rubare le credenziali e distribuire malware. Recenti ricerche hanno scoperto campagne di social engineering che chiedono agli utenti di partecipare a un meeting Zoom o di risolvere una vulnerabilità della sicurezza Cisco WebEx facendo clic su link dannosi progettati per rubare le credenziali di accesso. Di fronte a tali minacce emergenti, la raccomandazione è di essere sempre all'erta nei confronti delle mail di phishing e di non mancare mai di scaricare tutti gli aggiornamenti dei software di videoconferenza.
