首页 > 清静研究 > 清静转达 > 清静通告

恶意GIF使用Microsoft Teams误差挟制帐户

宣布时间 2020-04-29

0x00 事务配景

CyberArk的研究职员发明Microsoft Teams中保存子域名接受误差，该误差使攻击者向用户发送恶意GIF图像抵达窃取用户数据并挟制Teams账户的目的。

Microsoft Teams 是一款基于谈天的智能团队协作工具，可以同步举行文档共享，并为成员提供包括语音、视频聚会在内的即时通讯工具。

由于用户不必共享GIF，只是看到它就能受到影响，因此该误差可以自动撒播，并影响使用Teams桌面或Web浏览器版本的每个用户。

尊龙凯时·(中国区)人生就是搏!

0x01 误差剖析

该缺陷与Microsoft Teams处置惩罚图像资源身份验证的方法有关。每次翻开Teams客户端时会建设一个暂时的token或access token。此令牌以JWT的形式由Microsoft授权和身份验证服务器“login.microsoftonline.com”建设，允许用户审查小我私家或会话中分享的图像。

尊龙凯时·(中国区)人生就是搏!

该应用程序使用两个令牌举行身份验证：authtoken和skypetoken。为了研究两个令牌的关系，我们提取了Teams客户端的流量，其中获取新闻请求如下：

GET https://amer.ng.msg.teams.microsoft.com/v1/users/ME/conversations/19%3A...%40unq.gbl.spaces/messages?view=msnp24Equivalent|supportsMessageProperties&pageSize=200&startTime=1 HTTP/1.1

Host: amer.ng.msg.teams.microsoft.com

Connection: keep-alive

Pragma: no-cache

Cache-Control: no-cache

x-ms-session-id: 00000000000-0000-0000-0000-00000000000

BehaviorOverride: redirectAs404

x-ms-scenario-id: 00

x-ms-client-cpm: ApplicationLaunch

x-ms-client-env:

x-ms-client-type:

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36

ClientInfo:

Accept: json

Sec-Fetch-Dest: empty

x-ms-client-version:

x-ms-user-type: user

Authentication: skypetoken=eyJhbGciOiJSUzI1NiIsImtpZCI6IkVhc3RlckVnZyA6KSIsInR5cCI6IkpXVCJ9.eyJ...

Origin: https://teams.microsoft.com

Sec-Fetch-Site: same-site

Sec-Fetch-Mode: cors

Referer: https://teams.microsoft.com/_

Accept-Encoding: gzip, deflate, br

Accept-Language: en-US,en;q=0.9

从报文中看出，客户端仅发送了一个身份验证令牌，该令牌可以在“Authentication”字段中找到，名称为“skypetoken”。显然要想发送新闻，我们需要获得一个Skype令牌。Skype令牌从何而来呢？我们进一步研究了流量，找到了Teams客户建设skypetoken请求的会话：

POST /api/authsvc/v1.0/authz HTTP/1.1

Host: teams.microsoft.com

Connection: close

Content-Length: 0

Pragma: no-cache

Cache-Control: no-cache

x-ms-session-id: 00000000000-0000-0000-0000-00000000000

x-ms-scenario-id: 00

x-ms-user-type: user

x-ms-client-env:

x-ms-client-type:

Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IktleXMiLCJraWQiOiJLZXlzRXZlcnlXaGVyZSJ9.eyJ...

Accept: application/json, text/plain, */*

X-Client-UI-Language: en-us

Sec-Fetch-Dest: empty

ms-teams-authz-type: TokenRefresh

x-ms-client-version:

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.122 Safari/537.36

Origin: https://teams.microsoft.com

Sec-Fetch-Site: same-origin

Sec-Fetch-Mode: cors

Referer: https://teams.microsoft.com/_

Accept-Encoding: gzip, deflate

Accept-Language: en-US,en;q=0.9

Cookie: {redacted}

从报文可以看出，authtoken天生了skype token。有了这两个令牌，我们就可以通过挪用Teams API接口，实现发送新闻、阅读新闻、建设组、添加新用户或从中删除用户组、更改组的权限等功效。

authtoken cookie设置是发送给teams.microsoft.team或其他子域名，研究职员发明了两个保存挟制攻击误差的子域名：

1. aadsync-test.teams.microsoft.com

2. data-dev.teams.microsoft.com

若是攻击者可以让用户会见挟制的子域名，则受害者的浏览器会将cookie发送到攻击者的服务器，在收到authtoken之后，攻击者可以建设一个skype token，窃取受害者的Teams帐户数据。

尊龙凯时·(中国区)人生就是搏!

有了上述被黑的子域名后，攻击者就可以通过向受害者或群聊的所有成员发送恶意链接（即GIF图像）来使用此误差。将图像的“src”属性设置为被黑的子域名，并发送给受害者。当吸收者翻开新闻后，浏览器就会发送authtoken cookies到被黑的子域名，然后实验加载该图像。之后攻击者使用authtoken cookies建设一个skype token，并最终获取受害者的所有数据。

尊龙凯时·(中国区)人生就是搏!

0x02 误差验证

1. 研究职员还做了一个误差使用的PoC视频，如下所示：

https://fast.wistia.com/embed/medias/f4b25lcyzm

2. 别的，研究职员还编写了一个剧本，该剧本可抓取受害者的对话并举行线程处置惩罚，并将其生涯到外地文件中，如图所示：

尊龙凯时·(中国区)人生就是搏!

0x03 结论

由于该误差可以自动撒播，类似于蠕虫病毒，从而导致破损目的组织中的所有帐户。最终，攻击者可以会见您组织的Teams帐户中的所有数据，网络神秘信息、聚会和日历信息、竞争性数据、密码、私人信息、商业妄想等。这个问题很要害，由于Microsoft Teams和Zoom等视频聚会解决计划是在COVID-19盛行时代，企业、学校甚至政府组织选择的主要通讯渠道，这些应用程序中的数据量重大，并且通常包括用户名、密码和神秘营业信息，这使它们成为攻击者的主要目的。微软于3月20日删除了两个子域的过失设置的DNS纪录，并在4月20号宣布了补丁更新，缓解未来类似的清静危害。

0x04 参考链接

https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/

https://securityaffairs.co/wordpress/102344/hacking/hacking-microsoft-teams-accounts.html

尊龙凯时·(中国区)人生就是搏!

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

恶意GIF使用Microsoft Teams误差挟制帐户

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线