В условиях пандемии онлайн сервисы и программы для видеоконференций и дистанционной работы пользуются повышенным спросом, а разработчики получают большое количество сообщений от пользователей о выявленных ошибках. Например, разработчики Microsoft Teams не так давно устранили уязвимость, которая использовалась злоумышленниками для кражи учетных записей пользователей и другой конфиденциальной информации. Для проведения успешной атаки мошенникам требовалось получить контроль над поддоменами сервера аутентификации и отправить GIF-файл с вредоносным кодом внутри.
Исследователи из компании CyberArk были в числе первых, кто обнаружил данную уязвимость. Они также сообщили, что Microsoft решила эту необычную проблему еще 20 апреля 2020 г. Уязвимость работала как в веб-версии сервиса, так и в приложении для персональных компьютеров.
Уязвимость базировалась на архитектурных особенностях процессов просмотра изображений и аутентификации в Microsoft Teams. В частности, использовались манипуляции с двумя токенами (программные ключи доступа к серверу), один из которых открывал доступ к изображениям для пользователей (skypetoken), а второй отвечал за аутентификацию (authtoken) на сервере обработки запросов.
Для проведения атаки киберпреступники получали доступ к поддоменам сервера teams.microsoft.com и отправляли вредоносный GIF-файл с изображением Дональда Дака. При просмотре картинки токен пользователя (authtoken) отправлялся напрямую на сервер злоумышленника, после чего сразу же создавался запрос на получение skypetoken. Имея на руках необходимые токены, хакеры могли выполнять различные вредоносные действия: читать и отправлять сообщения, перераспределять роли в группах, добавлять и удалять пользователей из группы и т.д. Кроме того, злоумышленники получали доступ к передаваемым файлам, данным пользователям и другой информации.
