A Microsoft corrige falha na plataforma de colaboração e video-chamadas que permitia aos atacantes apropriarem-se das contas no Teams enviando um link malicioso aos participantes através de uma imagem GIF. A falha afeta tanto a versão desktop como web.

A falha reside na autenticação e a forma como são aqui processados os recursos de imagem. Ao abrir a aplicação, é criado um token de acesso, JSON Web Token, que permite ao utilizador ver imagens partilhadas pela pessoa ou de outros numa conversa. E para permitir aos recipientes obterem a imagem, são usados dois tokens de autenticação - “authtoken” e “skypetoken.”

O primeiro é usado para que os utilizadores não autenticados carreguem imagens em domínios do Teams e do Skype, gerando também o token do skype, que é depois usado para autenticação num servidor que processa a ação do cliente como a leitura de mensagens; um atacante que tenha ambos os tokens pode fazer chamadas pela API e apropriar-se da conta, podendo levar a outras ações maliciosas; foi descoberto, porém, que dois subdomínios do teams, que só com os quais se pode usar este token, estão vulneráveis a takeover - aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com.

Cenário de exploração

O cenário total seria o envio de um link malicioso como a imagem GIF à vítima ou a todos os membros de um grupo de chat; os recipientes abrem a mensagem, o browser envia os cookies do authtoken ao subdomínio que está comprometido tentando abrir esse mesmo recurso. Depois de obtido esse token, o atacante pode depois criar o token do skype e apropriar-se da conta da vítima.

Mais informações: https://threatpost.com/single-malicious-gif-opened-microsoft-teams-to-nasty-attack/155155/