Vorsicht vor Fehleinschätzungen der Risikoschwere: das Microsoft Teams GIF attack scenario ?

Während dieser Zeit der Beschränkung hat die Zahl der Benutzer von audiovisuellen Fernwerkzeugen für die Zusammenarbeit erheblich zugenommen.

Sicherheitsforscher sind sich dessen wohl bewusst und haben ihre Anstrengungen zur Erforschung von Sicherheitsfragen im Zusammenhang mit diesen Produkten verstärkt.

Microsoft Teams bildet da keine Ausnahme, mit dem Artikel Vorsicht vor dem GIF: Account Takeover Vulnerability in Microsoft Teams by CyberArk, der am 27. April veröffentlicht wurde (https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/).

Insbesondere berichteten die Forscher Microsoft am 23. März über die folgenden Schwachstellen:

  • Sie können die Web-Adresse eines GIF-Bildes in einer Nachricht angeben, und die Teams laden es automatisch herunter.
  • Wenn Teams mit einem Host interagiert, der auf teams.microsoft.com endet, wird automatisch eines der Benutzerauthentifizierungs-Token übertragen.

Source : https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/

Für sich allein genommen haben diese Schwächen keine Auswirkungen.

Es handelt sich um ganz klassische Verhaltensweisen dieser Art von Anwendungen, aber Microsoft hat dennoch beschlossen, das Versenden von Tokens an teams.microsoft.com erst ab dem folgenden 20. April einzuschränken.

Das Problem, das es ermöglichte, ein vollständiges Angriffsszenario zu erstellen, wurde in der Tat am selben Tag mitgeteilt:

  • aadsync-test.teams.microsoft.com und data-dev.teams.microsoft.com verweisen auf IP-Adressen, die ein Angreifer leicht fälschen kann.

Die Forscher gaben die Adressen nicht preis, aber es handelte sich höchstwahrscheinlich um private oder lokale Adressen, wie 192.168.1.1 oder 127.0.0.1.

Dieses Problem wurde noch am selben Tag von Microsoft gelöst und betrifft eher die Infrastruktur als die Team-Anwendung.

Die Forscher erklärten auch, dass es notwendig war, ein gültiges TLS-Zertifikat für diese Domains zu erstellen, und dass dies einfach zu bewerkstelligen ist… für öffentliche IP-Adressen.

Andererseits vergaßen sie zu erwähnen, dass dies für private Adressen sicherlich komplizierter zu bewerkstelligen ist, da man zunächst das Zertifikatsliefersystem oder die PKI des Unternehmens vom internen Netzwerk aus angreifen muss.

Selbst wenn die Adresse öffentlich wäre, müsste sie erst gefälscht werden, was sich im Internet als eine viel kompliziertere Aufgabe erweist.

Diese falsch konfigurierten Domänennamen hätten für andere Angriffe, z.B. Phishing-Angriffe, verwendet werden können, aber in jedem Fall und ganz sicher zur Durchführung des im Artikel beschriebenen Szenarios war die Einrichtung im Labor viel einfacher als in einem realen Fall.

In Anbetracht der Schwierigkeit, einen solchen Angriff durchzuführen, können wir die Tatsache nur begrüßen, dass Microsoft im Laufe des Tages reagiert und das Problem korrigiert hat, wohl wissend, dass es derzeit, vielleicht mehr als sonst, das Ziel von Angriffen ist.