اخبار امنیت

نفوذ به حساب‌های کاربری Microsoft Teams از طریق یک فایل GIF

۱۴ اردیبهشت ۱۳۹۹

نفوذ به حساب‌های کاربری Microsoft Teams از طریق یک فایل GIF

بنا به گزارش شرکت امنیتی CyberArk وجود یک آسیب‌پذیری خطرناک در نرم‌افزار محبوب Teams به مهاجمین این اجازه را می‌دهد که به وسیله یک فایل GIF مخرب کنترل تمام حساب‌های کاربری کاربران یک سازمان را در اختیار بگیرند. این آسیب‌پذیری جدیدترین چالشی است که سازمان‌ها و کاربران دورکار را در بحران بیماری همه‌گیر در معرض خطر قرار داده است. محققین شرکت CyberArk این آسیب‌پذیری را در ماه مارس سال جاری میلادی حین سنجش امنیت نرم‌افزار Teamsیافتند. بر اساس گزارشات این تیم امنیتی، مشکل مربوط به نحوه مدیریت اطلاعات احراز هویتی هنگام مشاهده یا به اشتراک‌گذاری تصاویر به اشتراک گذاشته شده توسط کاربران در نرم‌افزار Teams است. این فرآیند به مهاجمین اجازه می‌دهد که تصاویر GIF به ظاهر بی‌خطر را در نرم‌افزار Teams به اشتراک گذاشته و منجر به سوء استفاده از اطلاعات هویتی کاربران و کنترل حساب‌های کاربری آنان گردند.
به گفته Omer Tsarfati پژوهشگر امنیتی CyberArk، آسیب‌پذیری نرم‌افزار Teams در واقع مبتنی بر زنجیره‌ای از اتفاقات است. بدین صورت که با هر بار اجرای نرم‌افزار Teams توسط کاربر، یک کوکی به نام “authtoken” توسط نرم‌افزار ایجاد می‌گردد. این کوکی حاوی یک توکن دسترسی است و می‌بایست به دامنه team.microsoft.com ارسال گردد. در طی این پژوهش، محققین دو زیردامنه به آدرس‌های http://aadsync-test.teams.microsoft.com و http://data-dev.teams.microsoft.com را یافتند که بدلیل آسیب‌پذیری subdomain takeover احتمال کنترل آن توسط مهاجمین وجود داشت. بر طبق همین تحقیقات، در صورتی که یک مهاجم قادر به جعل زیردامنه باشد و به نحوی کاربر را به سمت آن هدایت کند، توکن کاربر (authtoken) برای مهاجم ارسال شده و از آن برای ساخت توکن دیگری به نام skypetoken استفاده می‌گردد. در ادامه، مهاجم به کمک این دو توکن می‌تواند به دیتای کاربر قربانی دسترسی داشته باشد. بنابراین یک مهاجم به راحتی با ارسال یک فایل GIF مخرب به سمت کاربر هدف می‌تواند توکن وی را بدست آورد. نکته جالب توجه این است که کاربر تنها با مشاهده این فایل GIF قربانی خواهد شد. پس از بدست آوردن اطلاعات هویتی قربانی اول، مهاجم با جعل هویت وی، فایل مخرب را برای سایر کارکنان سازمان ارسال نموده و بدین ترتیب تمام کاربران یک مجموعه در معرض خطر قرار خواهند گرفت. بدترین حالت، مهاجم قادر به سرقت پیام‌ها، مشاهده تقویم، ایجاد یا عضویت در جلسات آنلاین و مشارکت در سایر فعالیت‌ها به عنوان یک کاربر واقعی خواهد بود.

اخیراً کسب و کارها بدلیل شیوع بیماری همه‌گیر کرونا به طور چشمگیری به پلتفرم‌های آنلاین از قبیل Teams، Zoom و Slack روی آورده‌اند. بیشتر مجموعه‌های فعال در زمینه فناوری اطلاعات نیز در این شرایط بدون پیاده‌سازی کامل الزامات امنیتی یا رفع آسیب‌پذیری‌های موجود، مجبور به فراهم کردن بستر و پشتیبانی از این پلتفرم‌ها شده‌اند. به نقل از Tsarfati در شرایطی که اکثر سازمان‌ها متکی به ارتباطات و تکنولوژی‌های وابسته به آن شده‌اند، در مواجهه با مباحث امنیتی به راحتی هوشیاری خود را از دست خواهند داد. کارکنان می‌بایست نسبت به هرگونه پیام غیرمتعارف و همچنین فایل‌های GIF خصوصاً اگر از سوی یک کاربر ناآشنا ارسال شده باشد، مشکوک بوده و هیچ‌گاه اطلاعات حساس خود از قبیل گذرواژه‌ها را در پلتفرم‌های آنلاین به اشتراک نگذارند.
به نقل از CyberArk، مایکروسافت آسیب‌پذیری موجود در زیردامنه‌ها را یک روز پس از اعلام آن (۲۰ آوریل ۲۰۲۰) برطرف نموده و رکورهای DNS مشکل‌دار را حذف نمود. تحقیقات CyberArk در این زمینه نشان داد که چطور سیستم‌های پیچیده همانند پلتفرم Teams در معرض خطر قرار می‌گیرند. در این مورد خاص مهاجمین به سختی می‌توانستند آسیب‌پذیری را اکسپلویت کنند. اما امکان میزبانی محتوا توسط وب‌سایت Teams وجود داشت. اگر یک مهاجم بخواهد وب‌سایتی جعلی وابسته به Teams ایجاد کند نیاز به گواهینامه SSL آن دارد. این موضوع برای یک مهاجم می‌تواند مسأله‌ساز باشد، چرا که برای تهیه یک گواهینامه SSL برای وبسایت جعلی خود می‌بایست از طریق یک CERT معتبر اقدام نماید.

آرمان داده پویان ارائه دهنده راهکارهای امن دورکاری
برای مشاوره و کسب اطلاعات بیشتر با ما تماس بگیرید

تعداد بازدید: 90


تازه ترین ها