Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Gif zagłady – można było w niewidzialny sposób przejmować konta w Microsoft Teams.

27 kwietnia 2020, 19:35 | W biegu | komentarzy 6

Wystarczyło wysłać odpowiedni obrazek ofierze na chacie aby finalnie zdobyć jej token do API. Sam token umożliwia z kolei na takie operacje:

lets you send messages, read messages, create groups, add new users or remove users from groups, change permissions in groups, etc.

W skrócie masakra, w szczególności że operacja 'send messages’ może służyć do wysyłania gifa zagłady do kolejnych ofiar… i tak w kółko. W skrócie – robak.

Od strony technicznej obrazek musiał być umieszczony gdzieś w poddomenie *.teams.microsoft.com. W jaki sposób umieścić tam swój content? Badacz pokazał dwie domeny osierocone poddomeny, które można było bardzo łatwo ukraść:

  • aadsync-test.teams.microsoft.com
  • data-dev.teams.microsoft.com

Tak też zrobił. Co się działo kiedy ofiara oglądała zły obrazek na chacie? W zasadzie wszystko wyglądało w porządku, nie była też wymagana żadna interakcja ofiary:

Natomiast cała magia działa się w tle. Do obrazka (czy raczej serwera, gdzie hostowany był obrazek) przesyłany był (w ciasteczku) authtoken ofiary. Z kolei authtoken można było zamienić na skype token. Ten ostatni umożliwiał już przejęcie konta ofiary (dostęp przez API do czytania, wysyłania wiadomości, tworzenia nowych użytkowników, zmian uprawnień, etc).

Podatność dotykała zarówno klienta webowego jak i desktopowego Microsoft Teams. Badacz zgłosił problem 23. marca, Microsoft załatał lukę 20 kwietnia 2020roku.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Zdzich

    „Podatność dotykała zarówno klienta webowego jak i desktopowego Microsoft Teams.” – czyli właściwie po prostu web-client’a, bo desktop’owy Teams to nic innego jak silnik Chromium, tak samo zresztą jak desktop’owe aplikacje Skype, Slack, WhatsApp, Signal, Discord, a nawet Visual Studio Code: https://en.wikipedia.org/wiki/Electron_(software_framework)

    Odpowiedz
    • Cenna uwaga. Choć dla 'nietechnicznego’ użytkownika warto to podkreślić (bo dla niego to będą dwa osobne klienty)

      Odpowiedz
      • Czytelnik

        Zwłaszcza w sytuacji, gdy wersja webowa różni się funkcjonalnością od wersji desktopowej, a na wszelkie problemy z webową zazwyczaj rozwiązaniem na forach jest: „spróbuj wersji desktopowej”.

        Odpowiedz
    • Jan

      I tak i nie, bo klient na elektronie ma wiecej funkcjonalności niż ten odpalony w przeglądarce. Prawdopodobnie wynika to z tego żeby ten w przeglądarce nie był zbyt ciężki :)

      Odpowiedz
      • Mateusz

        Szczególnie jeśli chodzi o możliwość odświeżania zdjęć profilowych użytkowników…

        Odpowiedz
    • PWNM2.0

      web clienta, nie web-client’a
      desktopowy, nie desktop’owy
      desktopowe, nie desktop’owe
      ’ – to jest poprawny apostrof przy okazji

      Odpowiedz

Odpowiedz