Вразливість у програмі Microsoft Teams, яка використовується для проведення відеоконференцій, дозволяла зламати її за допомогою одного GIF-зображення. Як повідомляє "Популярная механика", під загрозою була не тільки конкретний обліковий запис, зловмисники могли взяти під контроль "весь список облікових записів команд".
Наголошується, що уразливість зачіпала всі версії програми для ПК і веб-браузерів. Проблема полягала в тому, як Microsoft обробляє токени аутентифікації для перегляду зображень у командах - спеціальні файли, які підтверджують, що "законний" користувач отримує доступ до облікового запису команди. Ці токени обробляються Microsoft на її сервері, розташованому за адресою teams.microsoft.com, або на будь-якому піддомені за цією адресою. Фахівці компанії CyberArk виявили, що існувала можливість захопити два з цих піддоменів - aadsync-test.teams.microsoft.com і data-dev.teams.microsoft.com.
Експерти з'ясували, що якщо хакери можуть змусити користувача відвідати захоплені піддомени, то токени будуть передані на сервер зловмисників. Простим способом змусити користувача відвідати скомпрометовані піддомени була класична фишинговая атака, коли зловмисники надсилають посилання і змушують клацнути по ній.
Але фахівці з CyberArk пішли іншим шляхом і створили GIF-зображення з Дональдом Даком, що при простому перегляді змусило б обліковий запис команди жертви відмовитися від свого сертифіката аутентифікації і, отже, власних даних. Це відбувалося тому, що джерелом GIF був скомпрометований піддомен, і додаток автоматично зв'язувався з ним для попереднього перегляду зображення. За словами фахівців з кібербезпеки, хакери могли використовувати уразливість, створивши черв'яка і поширивши атаку від одного користувача до іншого, формуючи масове "зараження".
Компанія Microsoft виправила вразливість 20 квітня. Як довго існувала помилка у програмі, невідомо.
Підписуйтесь на наш Telegram-канал з новинами технологій та культури.
Раніше у відкритий доступ потрапили тисячі записів відеодзвінків у додатку Zoom. Серед них були як колективні дзвінки для навчання персоналу, бізнес-зустрічі, фінансова звітність, так і особисті розмови, зокрема, інтимного характеру. Також у відкритому доступі виявилися розмови пацієнтів з лікарями, під час яких були озвучені номери телефонів, імені та прізвища тощо.