Sự bùng phát của đại dịch COVID-19 khiến lượng người dùng Microsoft Teams để làm việc từ xa tăng nhanh chóng. Tuy nhiên chính điều này cũng đã khiến Teams phải nhận sự chú ý không mong muốn từ giới tội phạm mạng.
Các nhà nghiên cứu an ninh mạng tới từ đội ngũ bảo mật CyberArk mới đây đã tìm ra một lỗ hổng liên quan đến chiếm đoạt tên miền phụ (subdomain) kết hợp với tệp hình động .GIF độc hại, có thể được hacker sử dụng để "chiếm đoạn dữ liệu cá nhân có giá trị trong tài khoản người dùng Microsoft Teams".
Nhóm nghiên cứu cho biết lỗ hổng bảo mật tương đối nghiêm trọng này có ảnh hưởng đến nền tảng Microsoft Teams trên cả phiên bản desktop cũng như trên trình duyệt web. Điều khiến lỗ hổng trở nên nguy hiểm hơn nằm ở giá trị của dữ liệu mà tin tặc có thể đánh cắp được nếu hack thành công vào tài khoản của nạn nhân. Khách hàng của Microsoft Teams đa số là các doanh nghiệp, tổ chức, do đó nền tảng này hiện đang chứa đựng một lượng lớn thông tin có giá trị ở cấp độ doanh nghiệp - miếng mồi hấp dẫn mà giới tội phạm mạng hướng tới.
Trong quá trình dò tìm lỗ hổng, nhóm CyberArk đã phát hiện ra rằng mỗi khi ứng dụng được mở, máy khách Teams sẽ tự động khởi tạo một mã thông báo truy cập tạm thời (access token) mới, được xác thực qua login.microsoftonline.com. Các mã thông báo khác tương tự cũng được tạo để truy cập các dịch vụ hỗ trợ tích hợp như SharePoint và Outlook.
2 cookies được sử dụng để hạn chế quyền truy cập nội dung là "authtoken" và "skypetoken_asm". Mã thông báo Skype được gửi đến teams.microsoft.com và các tên miền phụ của nó - 2 trong số này được phát hiện là dễ bị tấn công chiếm đoạt.
"Nếu kẻ tấn công bằng cách nào đó có thể buộc người dùng truy cập vào các tên miền phụ đã bị chiếm, trình duyệt của nạn nhân sẽ gửi cookie này đến máy chủ của kẻ tấn công và chúng có thể tạo mã thông báo Skype. Sau khi thực hiện tất cả những điều này, kẻ tấn công có thể đánh cắp dữ liệu tài khoản Teams của nạn nhân", đội ngũ CyberArk cho biết.
Tuy nhiên, chuỗi tấn công này rất phức tạp, vì kẻ tấn công cần phải cấp chứng chỉ cho các tên miền phụ bị xâm nhập - chỉ có thể bằng cách “chứng minh" quyền sở hữu bằng các thử nghiệm như tải tệp lên một đường dẫn cụ thể.
Để khắc phục khó khăn này, hacker sẽ gửi liên kết chứa mã độc đến các tên miền phụ dễ bị tấn công, hoặc tệp .GIF có chứa mã thông báo độc hại được chế tạo để chiếm đoạt phiên hoạt động của người dùng Teams khi họ nhấp vào tệp .GIF đó. Cách tấn công này có thể tác động đến nhiều cá nhân tại một thời điểm.
Toàn bộ thông tin về lỗ hổng đã được CyberArk báo cáo cho Microsoft, và phía công ty Redmond cũng đã nhanh chóng tung ra bản vá khắc phục lỗ hổng cũng như giảm thiểu rủi ro đối với các lỗi tương tự trong tương lai.