QQ登录

只需一步,快速开始

切换到宽版 切换风格

电脑疯子技术论坛|电脑极客社区

一张图片怎么做到让攻击者黑进微软团队账户?

[复制链接]
25 0
本帖最后由 zhaorong 于 2020-5-18 11:17 编辑

微软(Microsoft)在其团队的工作场所视频聊天和协作平台上修补了一个类似蠕虫的漏洞攻击者通过发给受害
者一个看似无害的图像 结果却是恶意链接 进而黑进一个团队全部账户。

c543d5a12023c51782317b7aaad0fe69.jpg-wh_651x-s_3957028341.jpg

点我呀!

这一影响桌面版和网络版应用程序的漏洞是由CyberArk的网络安全研究人员发现的 在3月23日负责任
地披露了调查结果之后微软在4月20日发布的更新中修补了这一漏洞。
即使攻击者没有从一个团队的账户中收集到很多信息 他们仍然可以使用被黑的账户来窃取整个组织的
信息(和蠕虫病毒一个性质) CyberArk的奥马尔·特萨尔法蒂(Omer Tsarfati)说。

70f0ac8a14a5ccb47eedfe4e90100605.jpg

最终 攻击者可以访问您组织的团队账户的所有数据——收集机密信息 会议信息
竞争数据 秘密 密码 私人信息 商业计划等。
与此同时 Zoom和微软团队等视频会议软件的需求也出现了前所未有的激增 因为在冠状病毒大流行
期间世界各地的企业 学生 甚至政府雇员都被迫在家里工作和社交。

子域接管漏洞

这个缺陷源于微软团队处理映像资源认证的方式 每次打开应用程序时 都会创建一个访问令牌一个JSON Web
令牌(JWT)允许用户查看对话中个人或其他人共享的图像。

eb3552a66abb90d71ab9aa0b6587e277.jpg-wh_600x-s_1936049034.jpg

微软团队的弱点

CyberArk研究人员发现 可以得到一个cookie(称为 authtoken )授予访问资源服务
器(api.spaces.skype.com)并使用它来创建上述“skype牌”使它们不受限制权限
发送消息和创建组,控制添加用户删除用户功能,改变权限组API。

这还不是全部 因为authtoken cookie被设置为发送到teams.microsoft 研究人员表示 他们发现了两个容
易受到收购攻击的子域名(aadsync-test.teams.microsoft.com和data-dev.teams.microsoft.com)。
研究人员表示:如果攻击者能够以某种方式强迫用户访问已被接管的子域受害者的浏览器
将把这个cookie发送到攻击者的服务器。

而攻击者(在收到authtoken之后)可以创建一个skype令牌。在做了所有这些之后
攻击者可以窃取受害者团队的账户数据。

46.jpg

现在有了受攻击的子域 攻击者可以通过发送一个恶意链接(比如GIF)给不知情的受害者或群聊的所有成员来利用这个漏洞
因此 当收件人打开邮件时 浏览器将尝试加载图像 但这之前受感染子域authtoken cookie已经被获得。

8.jpg

受害者的屏幕截图

然后 被入侵的账户会被滥用这个authtoken cookie 创建一个skype令牌 从而访问所有受害者的数据 更糟糕的是
任何局外人都可以发起攻击 只要交互涉及一个聊天界面 比如邀请参加一个潜在工作面试的电话会议。
研究人员说:受害者永远不会知道他们被攻击了 这使得利用这一弱点变得隐秘和危险。

7.jpg

以视频会议为主题的公司攻击正在上升

随着COVID-19的流行和对视频会议服务需求的增加远程工作已经成为攻击者盗取证书和分发恶意软件的一种有利可图的策略。
来自Proofpoint和Abnormal Security的最新研究发现 社交工程活动要求用户参加Zoom会议
或通过点击旨在窃取登录凭证的恶意链接来解决Cisco WebEx的安全漏洞。
面对这些新出现的威胁 建议用户小心网络钓鱼诈骗并确保视频会议软件是最新的。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

6092

主题
精彩推荐
热门资讯
网友晒图
图文推荐
Pcgho! X3.4

© 2020 Comsenz Inc.