У сервісі для спільної роботи і відеоконференцій Microsoft Teams усунена уразливість, експлуатація якої могла використовуватися для крадіжки облікових даних користувачів та іншої конфіденційної інформації. Для успішного проведення атаки зловмисникам потрібно взяти під контроль піддомени сервера аутентифікації teams.microsoft.com і відправити шкідливий GIF-файл.
Про це повідомили дослідники з компанії CyberArk, зазначивши, що розробники Microsoft вирішили дану проблему 20 квітня. Уразливість зачіпала десктопних програм Microsoft Teams, а також веб-версію сервісу. Проблема полягала в особливостях процесу обробки токенов аутентифікації для перегляду зображень у Teams. Сервіс використовує два токена: «authtoken» дозволяє завантажувати зображення в доменах Teams і Skype, а також генерує другий токен «skypetoken», необхідний для авторизації на сервері обробки запитів користувачів, в тому числі на читання або передачу файлів.
Ці маркери обробляються Microsoft на сервері teams.microsoft.com і його піддоменів. Дослідники виявили уразливість, яка дозволяла взяти під контроль два поддомена. Зловмисникам було потрібно змусити жертву відвідати один з підконтрольних піддоменів, щоб здійснити перехоплення токенов аутентифікації. Очевидно, що для цього могла використовуватися класична фішингова атака, але дослідники вважають цей спосіб занадто очевидним. Замість цього вони сформували шкідливий GIF-файл із зображенням Дональда Дака, при перегляді якого обліковий запис жертви автоматично пов’язується з сервером аутентифікації і генерує токени, які успішно перехоплюються, оскільки пересилаються через підконтрольні піддомени.
Таким чином зловмисники могли отримувати доступ до облікових даних користувачів, а також переданих ними файлів та іншої інформації. Незважаючи на те, що вразливість була усунута, її наявність говорить про те, що користувачі сервісів для спільної роботи можуть бути схильні до серйозної небезпеки.