В сервисе для совместной работы и видеоконференций Microsoft Teams устранена уязвимость, эксплуатация которой могла использоваться для кражи учётных данных пользователей и другой конфиденциальной информации. Для успешного проведения атаки злоумышленникам требовалось взять под контроль поддомены сервера аутентификации teams.microsoft.com и отправить вредоносный GIF-файл.
Об этом сообщили исследователи из компании CyberArk, отметив, что разработчики Microsoft решили данную проблему 20 апреля. Уязвимость затрагивала десктопное приложение Microsoft Teams, а также веб-версию сервиса. Проблема заключалась в особенностях процесса обработки токенов аутентификации для просмотра изображений в Teams. Сервис использует два токена: «authtoken» позволяет загружать изображения в доменах Teams и Skype, а также генерирует второй токен «skypetoken», необходимый для авторизации на сервере обработки запросов пользователей, в том числе на чтение или передачу файлов.
Эти токены обрабатываются Microsoft на сервере teams.microsoft.com и его поддоменах. Исследователи обнаружили уязвимость, которая позволяла взять под контроль два поддомена. Злоумышленникам требовалось заставить жертву посетить один из подконтрольных поддоменов, чтобы осуществить перехват токенов аутентификации. Очевидно, что для этого могла использоваться классическая фишинговая атака, но исследователи посчитали этот способ слишком очевидным. Вместо этого они сформировали вредоносный GIF-файл с изображением Дональда Дака, при просмотре которого учетная запись жертвы автоматически связывается с сервером аутентификации и генерирует токены, которые успешно перехватываются, поскольку пересылаются через подконтрольные поддомены.
Таким образом злоумышленники могли получать доступ к учётным данным пользователей, а также передаваемым ими файлам и другой информации. Несмотря на то, что уязвимость была устранена, её наличие говорит о том, что пользователи сервисов для совместной работы могут быть подвержены серьёзной опасности.
