آسیب پذیری امنیتی مایکروسافت تیمز، سرقت اطلاعات را با ارسال فایل گیف ممکن می کرد

محققان امنیتی از آسیب‌پذیری حیاتی در مایکروسافت تیمز خبر دادند که سرقت اطلاعات را ازطریق ارسال یک فایل گیف ممکن می‌کرد.

محققان امنیتی چندی پیش گزارشی را پیرامون یک آسیب‌پذیری مایکروسافت تیمز به شرکت سازنده ارسال کردند که موجب ارائه‌ی بسته‌ی امنیتی ازسوی ردموندی‌ها شد. آسیب‌پذیری مذکور، امکان سوءاستفاده از کنترل حساب کاربری کاربران تیمز را به مجرمان سایبری می‌داد. آن‌ها تنها با استفاده از یک فایل گیف (GIF)‌ امکان نفوذ به حساب و سرقت داده را داشتند.

محققان امنیتی گروه CyberArk چند روز پیش اعلام کردند که یک آسیب‌پذیری تصاحب زیردامنه در ترکیب با یک فایل گیف می‌تواند برای سرقت داده‌های شخصی کاربران و درنهایت تصاحب تمام حساب‌های کاربری یک سازمان مورد سوءاستفاده قرار بگیرد. گروه امنیتی ادعا کرد که آسیب‌پذیری مایکروسافت تیمز، کاربران را در هر دو نسخه‌ی دسکتاپ و وب نرم‌افزار، تهدید می‌کند.

ابزار ارتباط سازمانی مایکروسافت این روزها به‌خاطر شیوع ویروس کرونا و روی آوردن سازمان‌ها به دورکاری، مانند سرویس‌‌های دیگر همچون Zoom و GoToMeeting شاهد افزایش شدید تعداد کاربران بوده است. مایکروسافت تیمز امروزه برای تعامل‌های حیاتی در سازمان‌ها استفاده می‌شود و بسیاری از آن برای اشترا‌ک‌گذاری داده‌های اساسی سازمانی هم استفاده می‌کنند. همین روند باعث شد تا مجرمان سایبری، به‌مرور به سرویس ردموندی‌‌ها و سوءاستفاده‌های احتمالی از آن، علاقه‌‌مند شوند.

گروه امنیتی CyberArk در جریان تحقیقات خود متوجه شد هر بار که نرم‌افزار کلاینت مایکروسافت تیمز اجرا شود، یک توکن دسترسی موقت در آن ساخته می‌شود. اعتبارسنجی توکن مذکور برعهده‌ی زیردامنه‌ی login.microsoftonline.com است. برای اپلیکیشن‌های دیگر همچون SharePoint و Outlook هم توکن‌های مشابهی ایجاد می‌شود.

برای محدودسازی مجوزهای دسترسی به محتوا، دو کوکی به‌نام‌های authtoken و skypetoken_asm مورد استفاده قرار می‌گیرد. توکن اسکایپ به زیردامنه‌ی teams.microsoft.com و زیردامنه‌های دیگر آن ارسال می‌شود. دو زیردامنه از مجموعه‌ی مذکور، دربرابر تهدید تصاحب زیردامنه، آسیب‌پذیر گزارش شدند.

در بخشی از گزارش CyberArk درباره‌ی آسیب‌پذیری می‌خوانیم:

اگر مجرم سایبری به‌نوعی بتواند کاربر را به بازدید از زیردامنه‌ی تحت تصاحب تشویق کند، مرورگر قربانی این کوکی را به سرور هکر ارسال می‌کند و هکر پس از دریافت کردن توکن authtoken می‌تواند یک توکن اسکایپ بسازد. پس از انجام همه‌ی مراحل، هکر می‌تواند داده‌های حساب کاربری تیمز قربانی را سرقت کند.

همان‌طور که در نگاه اولیه به توضیحات بالا متوجه می‌شویم، سوءاستفاده از آسیب‌پذیری به مراحل زنجیره‌ای پیچیده‌ای نیاز دارد. مجرم سایبری ابتدا باید برای زیردامنه‌های مخرب خود یک مجوز دریافت کند که تنها با آزمایش‌هایی همچون بارگذاری یک فایل خاص در مسیری خاص و تأیید مالکیت انجام می‌شود. البته از آ‌نجایی که زیردامنه‌ها طبیعتا آسیب‌پذیر بودند، رد شدن از چالش مذکور آن‌چنان دشوار نبود. درنتیجه با ارسال یک لینک مخرب به زیردامنه‌ی آسیب‌پذیر یا ارسال یک فایل گیف به گروه، امکان تولید توکن موردنیاز و تهدید کردن سرویس تیمز قربانی توسط مجرم تأییدشده، فراهم می‌شد. از آنجایی که برای انجام حمله، تنها مشاهده‌ی تصویر گیف کافی بود، مجرمان با استفاده از روش مذکور امکان نفوذ به حساب کاربری بیش از یک نفر را داشتند.

گروه امنیتی CyberArk کدهای اثبات عملکرد و روش پیاده‌سازی آن را منتشر کردند. آن‌ها در بخشی از بیانیه‌ی خود هم گفتند که حتی اگر مجرم سایبری، اطلاعات شخصی قربانی را استخراج نکند، با استفاده از حساب کاربی او می‌تواند به کل سازمان نفوذ کند. محققان درنهایت طی برنامه‌ی Coordinated Vulnerability Disclosure با محققان امنیت سایبری و مرکز پاسخ امنیتی مایکروسافت (MSRC) همکاری کرده و گزارش را برای آن‌ها ارسال کردند.

آسیب‌‌پذیری امنیتی در ۲۳ مارس به مایکروسافت اعلام شد. ردموندی‌ها در همان روز جزئیات و مشخصات DNS دو زیردامنه‌ی آسیب‌‌پذیر را اصلاح کردند. به‌علاوه، در بیستم آوریل نیز بسته‌ی امنیتی ارائه شد که تهدید سوءاستفاده از باگ‌های مشابه را در آینده کاهش داد. شرکت همچنین در بیانیه‌ای اعلام کرد که باوجود عدم مشاهده‌ی سوءاستفاده‌ی گسترده از باگ، اقدام‌های امنیتی لازم پیاده‌سازی شده‌اند.