微軟修復(fù)了團(tuán)隊(duì)中蠕蟲般的帳戶劫持漏洞

微軟(Microsoft Corp.)更新了其“微軟團(tuán)隊(duì)協(xié)作服務(wù)”(Microsoft Teams collaboration service)，以修復(fù)一個(gè)安全漏洞。這個(gè)漏洞可能會(huì)讓黑客通過在一個(gè)聊天頻道上發(fā)布惡意圖片來劫持用戶賬戶。

這一漏洞最初是由上市網(wǎng)絡(luò)安全供應(yīng)商CyberArk Software Inc.發(fā)現(xiàn)的，該公司在今天的一份報(bào)告中詳細(xì)介紹了其發(fā)現(xiàn)。

微軟團(tuán)隊(duì)有一個(gè)認(rèn)證機(jī)制，確保用戶有權(quán)限在聊天頻道中查看與他們共享的圖片。在驗(yàn)證了人員具有訪問權(quán)限之后，該機(jī)制將為他們分配一個(gè)惟一的身份驗(yàn)證令牌。問題是，這個(gè)證書不僅可以用來查看圖像。

CyberArk研究員歐默·特薩爾法蒂(Omer Tsarfati)發(fā)現(xiàn)，用戶的圖像瀏覽令牌可能被黑客濫用，從而劫持他們的微軟團(tuán)隊(duì)賬戶。該漏洞使得黑客能夠讀取受害者的信息，并代表受害者向同事發(fā)送信息，從而危害公司的更多人。

Tsarfati今天寫道:“關(guān)于這一漏洞最大、最可怕的事情之一是，它可以像蠕蟲病毒一樣自動(dòng)傳播。”

要利用這一漏洞，黑客首先需要訪問目標(biāo)公司運(yùn)營的微軟團(tuán)隊(duì)聊天頻道。根據(jù)CyberArk的說法，一個(gè)足智多謀的攻擊者可以通過破壞一個(gè)保護(hù)很差的用戶賬戶，或者通過欺騙工作人員發(fā)送釣魚郵件等手段來達(dá)到這一目的。

一旦進(jìn)入，攻擊者就可以將帶有惡意HTML屬性的GIF圖像文件發(fā)布到聊天室，劫持所有查看圖像的用戶的圖像查看令牌?！爱?dāng)受害者打開此消息時(shí)，受害者的瀏覽器將嘗試加載圖像，這將發(fā)送authtoken cookie到受損的子域?！?/p>

問題是，圖像不能將數(shù)據(jù)發(fā)送到任何子域，而只能發(fā)送到與Microsoft團(tuán)隊(duì)服務(wù)器綁定的子域，這會(huì)使攻擊變得復(fù)雜。然而，CyberArk發(fā)現(xiàn)了兩個(gè)易受攻擊的微軟團(tuán)隊(duì)的子域名，這些子域名很容易被接管，這意味著在補(bǔ)丁發(fā)布之前就有可能實(shí)施攻擊。

CyberArk的Tsarfati寫道:“每一個(gè)可能受到這一漏洞影響的賬戶也可能成為其他所有公司賬戶的擴(kuò)散點(diǎn)?！薄癎IF也可以發(fā)送到組(又名團(tuán)隊(duì))，這使得攻擊者更容易用更少的步驟更快地控制用戶?！?/p>

本月早些時(shí)候，微軟修補(bǔ)了這個(gè)漏洞，并保護(hù)了易受攻擊的子域名。