Microsoft ha risolto una vulnerabilità che avrebbe potuto essere sfruttata dagli hacker per dirottare gli account di Microsoft Teams inviando link o immagini GIF appositamente predisposti agli utenti dell'organizzazione target.

L'invio di link o immagini dannosi è semplice, ma la preparazione dell'attacco ha comportato molteplici passaggi che sarebbero difficili da realizzare per gli aggressori che non abbiano un’elevata preparazione tecnica.

Microsoft Teams è una piattaforma di comunicazione e collaborazione che include funzionalità di chat, videoconferenza, archiviazione di file e integrazione delle applicazioni. La soluzione può essere molto utile per le organizzazioni, in particolare durante questo periodo di COVID-19, quando molti dipendenti sono costretti a lavorare da casa.

I ricercatori di CyberArk, azienda specializzata in soluzioni di privileged access security, hanno scoperto una vulnerabilità legata al modo in cui i team trasmettono i token di accesso all'autenticazione dell’immagine.

Un utente malintenzionato può sfruttare questa debolezza per creare un collegamento o un file GIF che, quando elaborato da Teams, invia un token di autenticazione a un server che controlla. Nel caso dei collegamenti, la vittima deve fare clic sul collegamento, ma negli attacchi che coinvolgono immagini GIF, la vittima deve semplicemente visualizzare la GIF nella chat di Teams e il suo token viene inviato all'hacker.

Una volta ottenuto il token, l'attaccante può utilizzarlo per dirottare l'account della vittima attraverso le interfacce API di Teams. L'aggressore può utilizzare questo metodo per leggere i messaggi dei team dell'utente, inviare messaggi per loro conto, creare gruppi, aggiungere o rimuovere utenti da un gruppo e modificare le autorizzazioni del gruppo.

L'intero attacco può essere automatizzato, consentendo a degli attaccanti di diffondersi all’interno di un'organizzazione utilizzando gli account compromessi per inviare la GIF malevola ad altri utenti di Teams. Ciò consente loro di ottenere informazioni potenzialmente sensibili dagli account di Teams, inclusi dati riservati, password, dati di riunioni e calendari e piani aziendali.

"Forse ancora più inquietante, potrebbero anche sfruttare questa vulnerabilità per inviare informazioni false ai dipendenti - impersonando la leadership di un'azienda - portando a danni finanziari, confusione, perdita diretta di dati e altro", hanno spiegato i ricercatori di CyberArk.

I rappresentanti di CyberArk hanno descritto diversi scenari di attacco che implicano questa vulnerabilità, incluso uno in cui l'attaccante utilizza un account compromesso per richiedere una reimpostazione della password ad un membro del team IT dell'organizzazione. L'aggressore può anche contattare il CEO utilizzando l'account dirottato di un altro dirigente e chiedere informazioni finanziarie sensibili. L'hacker può anche utilizzare i dati del calendario per conoscere le riunioni tra i dirigenti e impersonare una delle parti nel tentativo di indurre l'altra parte a installare un pezzo di malware richiedendo l'uso di un'app diversa per la riunione.

Tuttavia, ci sono alcuni prerequisiti per garantire che l’attacco possa funzionare. Prima di tutto, quando la vittima vede la GIF malevola in Teams, il suo token di accesso può essere inviato solo a un sottodominio di teams.microsoft.com, quindi l'attaccante deve in qualche modo dirottarlo ad un tale sottodominio.

Durante i loro test, i ricercatori di CyberArk hanno scoperto due sottodomini che hanno permesso loro di condurre un attacco: aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com.

Ricerche condotte di recente mostrano che ci sono centinaia di sottodomini Microsoft legittimi che possono essere dirottati o modificati per attacchi di tipo phishing, consegna di malware e truffe. Per cui, un utente malintenzionato dovrebbe prima trovare i sottodomini teams.microsoft.com per poi condurre un attacco.

CyberArk ha ammesso che trovare un dominio adatto non è un compito facile, ma ritiene che un attaccante con le giuste competenze e le risorse giuste probabilmente troverà più sottodomini.

Microsoft ha assicurato che i domini identificati da CyberArk non possono più essere violati e afferma di aver adottato altre misure per impedire lo sfruttamento. Tuttavia, la società di sicurezza informatica ha dichiarato che ritiene che l'attacco funzioni ancora se qualcuno è in grado di trovare sottodomini di Teams che possono essere dirottati.

Per lanciare un attacco come quello descritto da CyberArk, l'utente malintenzionato deve in qualche modo trovare un modo per ottenere l'accesso a un account Teams da cui i possa iniziare a inviare link o GIF dannosi per diffondersi all'interno di un'organizzazione. Tuttavia, i ricercatori hanno notato che un attacco può essere lanciato anche al di fuori dell'organizzazione designata. Ad esempio, se un attaccante può convincere la vittima a invitarlo a un colloquio di lavoro su Team.

CyberArk ha dichiarato che i token ottenuti dall'aggressore sono validi solo per un'ora, ma ogni volta che la vittima visualizza la GIF malevola viene creato un nuovo token valido per un'altra ora.

CyberArk ha pubblicato un post sul blog contenente una descrizione tecnica dell'attacco e un video che mostra l'attacco.

Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub

 

I nostri esperti di Sicurezza e il nostro Operations Center saranno lieti di aiutarvi per qualsiasi esigenza. Contattateci per una verifica sullo stato di sicurezza della Vostra Rete o sui nostri piani formativi al Vs personale dipendente.