安全研究人员发现了一种方法,黑客可以利用这种方法看起来像无害的.GIF图像来破坏帐户并窃取数据,此漏洞已在Microsoft Teams工作协作平台中修复。
随着冠状病毒大流行危机的爆发,公司迫使其雇员在家工作,具有视频聊天,即时消息和文件共享功能的Microsoft Teams等协作平台的使用急剧增加。
不幸的是,恶意团队可以利用Microsoft Teams的桌面版和Web浏览器版中的一个缺陷来读取用户的消息,发送冒充来自用户的消息,创建组并控制团队。以多种方式进行结算。
实际上,发送给Microsoft Teams用户的单个.GIF图像足以劫持多个企业帐户,并像蠕虫一样遍历整个组织。
用户甚至不必共享危险的.GIF文件即可受到影响。所有其他用户所需要的只是通过Microsoft Teams来查看.GIF图像,每次都窃取身份验证令牌并大大提高了攻击在组织中传播的能力。
这种攻击的影响非常大:
“最终,攻击者可以从您的组织团队帐户中访问所有数据-收集机密信息,会议和日历信息,竞争性数据,机密信息,密码,私人信息,商业计划等。”
当前,许多企业都在受COVID-19影响,苦苦挣扎,降低网络安全投入,而网络犯罪分子却不断精心策划高级攻击。
幸运的是,为了成功进行攻击,黑客必须已经入侵了属于目标组织的子域,在该子域中托管了恶意映像。
对脆弱的子域进行攻击的需求大大降低了攻击者成功进行攻击的能力。
但这确实强调了所有组织都需要正确审核可能存在哪些子域(包括最初为测试和开发目的而设置的子域或短暂的营销活动),以确保以后不会对其进行利用。
该漏洞已于3月23日以负责任的方式向Microsoft披露。不到一个月的时间,Microsoft修复了该安全漏洞,该漏洞仅在现在才公开发布。
微软表示,尚未发现任何证据表明该漏洞是由犯罪分子在野外利用的。
来源:freebuf.com 2020-04-28 11:27:32 by: 比特梵德中国
请登录后发表评论
注册