安基網 首頁 資訊 安全報 查看內容

一張圖片怎么做到讓攻擊者黑進微軟團隊賬戶?

2020-5-12 12:54| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 轉自thehackernews,作者Ravie Lakshmanan,藍色摩卡譯,合作站點轉載請注明原文譯者和出處為超級盾!微軟(Microsoft)在其團隊的工作場所視頻聊天和協作平臺上修補了一個類似蠕蟲的漏洞,攻擊者通過發給受害者一個看 ...

轉自thehackernews,作者Ravie Lakshmanan,藍色摩卡譯,合作站點轉載請注明原文譯者和出處為超級盾!

微軟(Microsoft)在其團隊的工作場所視頻聊天和協作平臺上修補了一個類似蠕蟲的漏洞,攻擊者通過發給受害者一個看似無害的圖像,結果卻是惡意鏈接,進而黑進一個團隊全部賬戶。

這一影響桌面版和網絡版應用程序的漏洞是由CyberArk的網絡安全研究人員發現的。在3月23日負責任地披露了調查結果之后,微軟在4月20日發布的更新中修補了這一漏洞。

“即使攻擊者沒有從一個團隊的賬戶中收集到很多信息,他們仍然可以使用被黑的賬戶來竊取整個組織的信息(和蠕蟲病毒一個性質),”CyberArk的奧馬爾·特薩爾法蒂(Omer Tsarfati)說。

“最終,攻擊者可以訪問您組織的團隊賬戶的所有數據——收集機密信息、會議信息、競爭數據、秘密、密碼、私人信息、商業計劃等!

與此同時,Zoom和微軟團隊等視頻會議軟件的需求也出現了前所未有的激增,因為在冠狀病毒大流行期間,世界各地的企業、學生、甚至政府雇員都被迫在家里工作和社交。

子域接管漏洞

這個缺陷源于微軟團隊處理映像資源認證的方式。每次打開應用程序時,都會創建一個訪問令牌、一個JSON Web令牌(JWT),允許用戶查看對話中個人或其他人共享的圖像。

微軟團隊的弱點

CyberArk研究人員發現,可以得到一個cookie(稱為“authtoken”)授予訪問資源服務器(api.spaces.skype.com),并使用它來創建上述“skype牌”,使它們不受限制權限發送消息和創建組,控制添加用戶刪除用戶功能,改變權限組API。

這還不是全部。因為authtoken cookie被設置為發送到teams.microsoft。研究人員表示,他們發現了兩個容易受到收購攻擊的子域名(aadsync-test.teams.microsoft.com和data-dev.teams.microsoft.com)。


研究人員表示:“如果攻擊者能夠以某種方式強迫用戶訪問已被接管的子域,受害者的瀏覽器將把這個cookie發送到攻擊者的服務器,

而攻擊者(在收到authtoken之后)可以創建一個skype令牌!薄霸谧隽怂羞@些之后,攻擊者可以竊取受害者團隊的賬戶數據!

現在有了受攻擊的子域,攻擊者可以通過發送一個惡意鏈接(比如GIF)給不知情的受害者或群聊的所有成員來利用這個漏洞。因此,當收件人打開郵件時,瀏覽器將嘗試加載圖像,但這之前受感染子域authtoken cookie已經被獲得。

受害者的屏幕截圖

然后,被入侵的賬戶會被濫用這個authtoken cookie,創建一個skype令牌,從而訪問所有受害者的數據。更糟糕的是,任何局外人都可以發起攻擊,只要交互涉及一個聊天界面,比如邀請參加一個潛在工作面試的電話會議。

研究人員說:“受害者永遠不會知道他們被攻擊了,這使得利用這一弱點變得隱秘和危險!

以視頻會議為主題的公司攻擊正在上升

隨著COVID-19的流行和對視頻會議服務需求的增加,遠程工作已經成為攻擊者盜取證書和分發惡意軟件的一種有利可圖的策略。

來自Proofpoint和Abnormal Security的最新研究發現,社交工程活動要求用戶參加Zoom會議,或通過點擊旨在竊取登錄憑證的惡意鏈接來解決Cisco WebEx的安全漏洞。

面對這些新出現的威脅,建議用戶小心網絡釣魚詐騙,并確保視頻會議軟件是最新的。

聲明:我們尊重原創者版權,除確實無法確認作者外,均會注明作者和來源。轉載文章僅供個人學習研究,同時向原創作者表示感謝,若涉及版權問題,請及時聯系小編刪除



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6825427873621344775/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 河北排列7最高 江西十一选五结果 上海十一选五开奖官网 福建11选五走势图500 最强六肖公式平特计算网 股市行情 安徽快3形态走势图一彩经网 pk10赛车历史记录官网 重庆时时彩开奖号码 黑龙江22选5开奖查询