微軟修復了團隊中蠕蟲般的帳戶劫持漏洞

微軟(Microsoft Corp.)更新了其“微軟團隊協(xié)作服務”(Microsoft Teams collaboration service)，以修復一個安全漏洞。這個漏洞可能會讓黑客通過在一個聊天頻道上發(fā)布惡意圖片來劫持用戶賬戶。

這一漏洞最初是由上市網(wǎng)絡安全供應商CyberArk Software Inc.發(fā)現(xiàn)的，該公司在今天的一份報告中詳細介紹了其發(fā)現(xiàn)。

微軟團隊有一個認證機制，確保用戶有權限在聊天頻道中查看與他們共享的圖片。在驗證了人員具有訪問權限之后，該機制將為他們分配一個惟一的身份驗證令牌。問題是，這個證書不僅可以用來查看圖像。

CyberArk研究員歐默·特薩爾法蒂(Omer Tsarfati)發(fā)現(xiàn)，用戶的圖像瀏覽令牌可能被黑客濫用，從而劫持他們的微軟團隊賬戶。該漏洞使得黑客能夠讀取受害者的信息，并代表受害者向同事發(fā)送信息，從而危害公司的更多人。

Tsarfati今天寫道:“關于這一漏洞最大、最可怕的事情之一是，它可以像蠕蟲病毒一樣自動傳播。”

要利用這一漏洞，黑客首先需要訪問目標公司運營的微軟團隊聊天頻道。根據(jù)CyberArk的說法，一個足智多謀的攻擊者可以通過破壞一個保護很差的用戶賬戶，或者通過欺騙工作人員發(fā)送釣魚郵件等手段來達到這一目的。

一旦進入，攻擊者就可以將帶有惡意HTML屬性的GIF圖像文件發(fā)布到聊天室，劫持所有查看圖像的用戶的圖像查看令牌?！爱斒芎φ叽蜷_此消息時，受害者的瀏覽器將嘗試加載圖像，這將發(fā)送authtoken cookie到受損的子域?！?/p>

問題是，圖像不能將數(shù)據(jù)發(fā)送到任何子域，而只能發(fā)送到與Microsoft團隊服務器綁定的子域，這會使攻擊變得復雜。然而，CyberArk發(fā)現(xiàn)了兩個易受攻擊的微軟團隊的子域名，這些子域名很容易被接管，這意味著在補丁發(fā)布之前就有可能實施攻擊。

CyberArk的Tsarfati寫道:“每一個可能受到這一漏洞影響的賬戶也可能成為其他所有公司賬戶的擴散點。”“GIF也可以發(fā)送到組(又名團隊)，這使得攻擊者更容易用更少的步驟更快地控制用戶?！?/p>

本月早些時候，微軟修補了這個漏洞，并保護了易受攻擊的子域名。