首页 > 清静研究 > 清静转达 > 清静通告

恶意GIF使用Microsoft Teams误差挟制帐户

宣布时间 2020-04-29

0x00 事务配景

CyberArk的研究职员发明Microsoft Teams中保存子域名接受误差，，，，，，该误差使攻击者向用户发送恶意GIF图像抵达窃取用户数据并挟制Teams账户的目的。。。。。

Microsoft Teams 是一款基于谈天的智能团队协作工具，，，，，，可以同步举行文档共享，，，，，，并为成员提供包括语音、视频聚会在内的即时通讯工具。。。。。

由于用户不必共享GIF，，，，，，只是看到它就能受到影响，，，，，，因此该误差可以自动撒播，，，，，，并影响使用Teams桌面或Web浏览器版本的每个用户。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

0x01 误差剖析

该缺陷与Microsoft Teams处置惩罚图像资源身份验证的方法有关。。。。。每次翻开Teams客户端时会建设一个暂时的token或access token。。。。。此令牌以JWT的形式由Microsoft授权和身份验证效劳器“login.microsoftonline.com”建设，，，，，，允许用户审查小我私家或会话中分享的图像。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

该应用程序使用两个令牌举行身份验证：authtoken和skypetoken。。。。。为了研究两个令牌的关系，，，，，，我们提取了Teams客户端的流量，，，，，，其中获取新闻请求如下：

GET https://amer.ng.msg.teams.microsoft.com/v1/users/ME/conversations/19%3A...%40unq.gbl.spaces/messages?view=msnp24Equivalent|supportsMessageProperties&pageSize=200&startTime=1 HTTP/1.1

Host: amer.ng.msg.teams.microsoft.com

Connection: keep-alive

Pragma: no-cache

Cache-Control: no-cache

x-ms-session-id: 00000000000-0000-0000-0000-00000000000

BehaviorOverride: redirectAs404

x-ms-scenario-id: 00

x-ms-client-cpm: ApplicationLaunch

x-ms-client-env:

x-ms-client-type:

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36

ClientInfo:

Accept: json

Sec-Fetch-Dest: empty

x-ms-client-version:

x-ms-user-type: user

Authentication: skypetoken=eyJhbGciOiJSUzI1NiIsImtpZCI6IkVhc3RlckVnZyA6KSIsInR5cCI6IkpXVCJ9.eyJ...

Origin: https://teams.microsoft.com

Sec-Fetch-Site: same-site

Sec-Fetch-Mode: cors

Referer: https://teams.microsoft.com/_

Accept-Encoding: gzip, deflate, br

Accept-Language: en-US,en;q=0.9

从报文中看出，，，，，，客户端仅发送了一个身份验证令牌，，，，，，该令牌可以在“Authentication”字段中找到，，，，，，名称为“skypetoken”。。。。。显然要想发送新闻，，，，，，我们需要获得一个Skype令牌。。。。。Skype令牌从何而来呢？？？？？我们进一步研究了流量，，，，，，找到了Teams客户建设skypetoken请求的会话：

POST /api/authsvc/v1.0/authz HTTP/1.1

Host: teams.microsoft.com

Connection: close

Content-Length: 0

Pragma: no-cache

Cache-Control: no-cache

x-ms-session-id: 00000000000-0000-0000-0000-00000000000

x-ms-scenario-id: 00

x-ms-user-type: user

x-ms-client-env:

x-ms-client-type:

Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IktleXMiLCJraWQiOiJLZXlzRXZlcnlXaGVyZSJ9.eyJ...

Accept: application/json, text/plain, */*

X-Client-UI-Language: en-us

Sec-Fetch-Dest: empty

ms-teams-authz-type: TokenRefresh

x-ms-client-version:

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.122 Safari/537.36

Origin: https://teams.microsoft.com

Sec-Fetch-Site: same-origin

Sec-Fetch-Mode: cors

Referer: https://teams.microsoft.com/_

Accept-Encoding: gzip, deflate

Accept-Language: en-US,en;q=0.9

Cookie: {redacted}

从报文可以看出，，，，，，authtoken天生了skype token。。。。。有了这两个令牌，，，，，，我们就可以通过挪用Teams API接口，，，，，，实现发送新闻、阅读新闻、建设组、添加新用户或从中删除用户组、更改组的权限等功效。。。。。

authtoken cookie设置是发送给teams.microsoft.team或其他子域名，，，，，，研究职员发明了两个保存挟制攻击误差的子域名：

1. aadsync-test.teams.microsoft.com

2. data-dev.teams.microsoft.com

若是攻击者可以让用户会见挟制的子域名，，，，，，则受害者的浏览器会将cookie发送到攻击者的效劳器，，，，，，在收到authtoken之后，，，，，，攻击者可以建设一个skype token，，，，，，窃取受害者的Teams帐户数据。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

有了上述被黑的子域名后，，，，，，攻击者就可以通过向受害者或群聊的所有成员发送恶意链接（即GIF图像）来使用此误差。。。。。将图像的“src”属性设置为被黑的子域名，，，，，，并发送给受害者。。。。。当吸收者翻开新闻后，，，，，，浏览器就会发送authtoken cookies到被黑的子域名，，，，，，然后实验加载该图像。。。。。之后攻击者使用authtoken cookies建设一个skype token，，，，，，并最终获取受害者的所有数据。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

0x02 误差验证

1. 研究职员还做了一个误差使用的PoC视频，，，，，，如下所示：

https://fast.wistia.com/embed/medias/f4b25lcyzm

2. 别的，，，，，，研究职员还编写了一个剧本，，，，，，该剧本可抓取受害者的对话并举行线程处置惩罚，，，，，，并将其生涯到外地文件中，，，，，，如图所示：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

0x03 结论

由于该误差可以自动撒播，，，，，，类似于蠕虫病毒，，，，，，从而导致破损目的组织中的所有帐户。。。。。最终，，，，，，攻击者可以会见您组织的Teams帐户中的所有数据，，，，，，网络神秘信息、聚会和日历信息、竞争性数据、密码、私人信息、商业妄想等。。。。。这个问题很要害，，，，，，由于Microsoft Teams和Zoom等视频聚会解决计划是在COVID-19盛行时代，，，，，，企业、学校甚至政府组织选择的主要通讯渠道，，，，，，这些应用程序中的数据量重大，，，，，，并且通常包括用户名、密码和神秘营业信息，，，，，，这使它们成为攻击者的主要目的。。。。。微软于3月20日删除了两个子域的过失设置的DNS纪录，，，，，，并在4月20号宣布了补丁更新，，，，，，缓解未来类似的清静危害。。。。。

0x04 参考链接

https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/

https://securityaffairs.co/wordpress/102344/hacking/hacking-microsoft-teams-accounts.html

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

恶意GIF使用Microsoft Teams误差挟制帐户

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线