有了"authtoken"和"skypetoken"后,就能通过Teams API接口发起API请求,实现消息发送、读取,创建群组、添加移除新用户或更改群组用户权限等。但还需要一个条件,由于"authtoken"和"skypetoken"只会发送到teams.microsoft.com和其相关的域名中,所以,成功的利用条件是teams.microsoft.com和其相关子域名存在域名劫持。恰巧的是,经过测试,我们发现以下两个teams.microsoft.com的子域名存在可劫持漏洞:
aadsync-test.teams.microsoft.com
data-dev.teams.microsoft.com
如果攻击者劫持了上述两个域名,就能窃取到受害者发往Microsoft Teams服务端的cookie,然后通过其中的"authtoken"生成"skypetoken",就能对受害者账户数据的窃取。但该利用中还存在:
1、攻击者需要为上述可被劫持的子域名发布一个证书,因为"authtoken"被标记为了secure,只能通过https通道传递。但对于攻击者来说,这并不算是一个问题,因为域名已经可以劫持了,只要能上传相应文件到指定的路径下,证书颁布机构即能发布有效证书;
2、如何利用该漏洞方法实现Microsoft Teams账户劫持,如果可能的话,最好不要用恶意链接的方式,因为这种方法已经被用烂了,稍微有点安全意识的人都不会上当。
为此,我们设计了一种不一样的手法。
如前所述,Microsoft Teams在跨域的Teams和Skype账户中进行图片分享或浏览时,用"authtoken" 来验证用户身份然后加载图片,因此,我们可以通过Microsoft Teams群聊,向受害者发送一张"src"属性指向上述两个可被劫持的子域名的图片,当受害者打开该图片后,其浏览器就会向攻击者劫持的子域名发送包括"authtoken"的Cookie。
这样一来,攻击者就能获取受害者的"authtoken",然后生成"skypetoken",进而窃取到受害者的所有数据信息。
攻击就是如下这么简单:受害者只需在Microsoft Teams账户中浏览一张正常的GIF,即可中招!子域名劫持+Cookie窃取=账户劫持。虽然这种攻击场景大多限于内部,但也会引入外部因素,如邀请第三方人员或局外人加入视频会议等。
该漏洞利用最大最可怕的一点就在于能在群组中广泛传播,类似蠕虫一样,受害者看到的是一张经过构造的正常图片,每个受害者账户都会称为一个扩散点,影响所有群组用户,并且,这种图片分享传播也有可能被传播给其它公司群组,形成更快更有效的攻击步骤。POC视频参考:
https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/
除此之外,我们还写了一个脚本,可以跑出受害者的所有会话信息并保存在本地,如下图所示:
CyberArk发现了该漏洞,影响范围波及客户端和网页版的app用户。该团队发现该漏洞后在3月23日报送给微软,微软在4月20日发布的更新中修复了该漏洞。
从CyberArk安全人员Omer Tsarfati可以得知,一旦黑客给目标对象发送GIF恶意图像,那么他们就可以接管用户账号,获取机密信息、会议行程、竞争数据、密码、隐私、商业计划等等。
Microsoft Teams是类似Zoom的一款视频会议软件,在COVID19期间也是见证了用户视频使用需求的崛起,世界范围的企业、学生、政府雇员都必须使用视频会议软件来进行工作和社交。
该漏洞是在Microsoft Teams处理图像资源身份验证方式时出现的。每次打开应用程序时,都会在此过程中创建访问令牌,JSON Web令牌(JWT),从而使用户可以查看个人或其他人在对话中共享的图像。该令牌也成为"skype令牌",即" skypetoken_asm"的cookie,这不仅仅限于访问图像,还有其他用途。
Teams使用多个API端点与服务进行通信,并将用户操作发送到相关API端点,此时则需要进行身份验证来匹配操作和用户身份。常用方式是发送访问令牌,而Teams在图像方面出现问题。比如用户身份验证不是基于Cookie,加载图像则比身份验证更为复杂。
为了解决此问题,有一种方法可以使用JavaScript代码作为Blob提取图像内容,然后将IMG标签的src属性设置为创建的Blob。在某些情况下,Teams使用浏览器的常规资源加载,这意味着Teams只是将URI的" src"属性设置为HTML IMG标签
<img ng-show ="!giphyCtrl.playVideo" ng-src ="
https://media2.giphy.com/media/gB4KWtd3uSsJq/giphy.GIF" height =" 240" width ="
480" load-image-handler src ="
https://media2.giphy.com/media/gB4KWtd3uSsJq/giphy.GIF">
为了限制访问权限,微软又建立了一个名为" authtoken"和" skypetoken_asm"的cookie。
这就是问题所在,研究人员能够获得一个authtoken cookie,该cookie授予对资源服务器(api.spaces.skype.com)的访问权限,并使用它来创建上述的" skype令牌",因此他们具有很大的不受限制的权限,可以发送消息、阅读消息、创建群组、添加新用户或从群组中删除用户,甚至通过Teams API更改群组中的权限。
由于authtoken cookie设置为发送到team.microsoft.team或其任何子域,因此研究人员发现了两个容易受到攻击的子域(aadsync-test.teams.microsoft.com和data-dev.teams.microsoft.com),这两个子域容易发生接管攻击。
研究人员说:"如果攻击者以某种方式迫使用户访问已被接管的子域,则受害者的浏览器会将此Cookie发送到攻击者的服务器,并且攻击者(在收到authtoken之后)可以创建一个Skype令牌。完成所有这些操作后,攻击者可以窃取受害者团队的账户数据。"
Teams设置" authtoken" cookie的原因是对用户进行身份验证,方便在Teams和Skype的域中加载图像。现在,攻击者感染子域,可以利用这个漏洞发送恶意GIF图片给群聊成员或者特定用户,当用户查看时,浏览器会尝试加载图像,并将authtoken cookie发送到受感染的子域。
然后,攻击者可以使用此authtoken cookie创建一个Skype令牌,从而访问所有受害者的数据。只要交互涉及聊天界面,例如邀请电话会议进行潜在的工作面试,任何人都可以发起攻击。
受害者永远不会知道自己受到了攻击,这使得利用此漏洞变得隐秘而危险。
利用该漏洞最可怕之处在于其会自动传播,类似蠕虫病毒。
在COVID19这个特殊时期,基于环境的变化,全球用户对视频会议软件需求激增,不管上文所述的Teams GIF入侵也好,还是前段时间引发热议的"Zoom轰炸"也好,视频会议软件也开始是黑客发动攻击青睐的对象。
因此,企业也要更加防范这个领域可能遭受的风险,比如网络监听、服务器或流量攻击、身份冒充、会议内容数据窃取或篡改等。
so 2020.4.20 微软释放补丁 over。。。
无从下手的男生,想赢得比赛,难啊
短短几秒钟多次反转剧情
哥们这都敢开闪光灯,做死的节奏
有多少人认为这才是超能力正确用法
啥都不说了,大哥干了这一杯杯杯杯杯杯
相关问答
这个“邪恶”的小哥把死对头的照片发到网上,希望网友p个违法的东西在他手上。网友做到了!!!注:健达奇趣蛋在美国被禁,因为FDA担心小孩子会误食蛋内的塑料...网...
我最早喜欢朱一龙就是因为反差萌,当然粉到现在已经不止于此了,但是还是想说说,我一向对反差萌这个萌点没有抵抗力。看镇魂的时候,因为没看过小说,被大段的...第...
我说这个名字你可能不认识,但是看了下面的这张图片你会立刻知道,是这个狠人。《弯刀》是由罗伯特·罗德里格兹和伊桑·曼尼奎斯联合执导,丹尼·特乔、杰西卡...
8.超元气三姐妹丸井家三胞胎长相可爱乖巧,然而可爱的外表下却有着令人哭笑不得甚至抓狂的邪恶性情与趣味。三个性格怪怪的小女孩凑到一起,惹出无数的爆笑喜剧...
都很帅,一起来看下他主演的十部经典影片!基努·里维斯已经成为影视界最受欢迎的演员之一。事实上,"杀神"基努·里维斯更是一位善良和有爱心的演员,他生活朴...
这次,我们讲一个骇人听闻的故事国产主旋律片,有《湄公河行动》、《红海行动》、《战狼》系列,不管是口碑还是票房都获得了认可。但就小荧幕而言,近几年除了...
当然存在呀,历史上最著名的基因武器——天花,还有现在最著名的基因武器,艾滋病,当然它们都是大自然创造的,不是人类自己搞出来的。图示:史上第一个确凿的...通...
以下是我从10个角度,为你推荐的55个公众号。所谓外行看(阅)热(读)闹(量),内行看(方)门(法)道,如果你是一个企业新媒体编辑,研究下来,肯定有用。1...我们在专...
因为漫威和索尼再次达成协议,此前一度已经被广大粉丝认定会离开漫威宇宙的蜘蛛侠也就不用在离开了,相对应的在之后的《蜘蛛侠3》中,神秘客可能会以“视频”的...
过年,也许是一年众多节日之中唯一一个可以凌驾于情人节之上的日子,是天南海北的好友相聚在一起的日子,然而,过年免不了要走访亲戚,然后遇到不是母亲胜似母亲...
