疫情中不少公司都採用居家工作,國際會議也採用視像會議的方式進行。網上會議平台如 Zoom 在這段時間冒起,不過同時也被發現諸多漏洞。不過與此同時其他網上協作平台一樣成為駭客的目標,最新的受害者就是 Microsoft Teams 。有保安機構就發現 Teams 存在一個漏洞,只要一個張 GIF 動畫就能騙取企業的 Teams 帳戶資料。幸而, Microsoft 已於日前修補了這個漏洞。
據福布施報道,保安企業 CyberArk Labs 發現問題在於 Microsoft 在 Teams 處理查看圖像的認證令牌( authentication token )方式。 Microsoft 是以 teams.microsoft.com 和名下的子網域的伺服器來處理認證令牌的,不過專家就發現有兩個子網域 aadsync-test.teams.microsoft.com 和 data-dev.teams.microsoft.com 被駭客騎劫。
他們發現駭客如果能誘導目標企業的人員到這些被騎劫的子網域,就可以將用戶的認證令牌傳送到駭客的伺服器,然後就可以用這個令牌來生成另一個 Skype 令牌來偷取受害者的 Teams 帳戶資料。
由於用傳統釣魚方法來誘騙受害者到被騎劫網站太過明目張膽,保安專家就製作了一張唐老鴨 GIF 動畫作示範,由於這張惡意 GIF 的來源是來自被騎劫的子網域,所以 Teams 是會自動聯絡受害者觀看圖像,受害者只要一看動畫 GIF ,就會把認證令牌傳到駭客手上。
CyberArk Labs 的專家指兩個子網域是在今年 2 月 27 日被騎劫,直至 3 月 23 日被 Microsoft 奪回子網域。他們指現時未有證據顯示有駭客利用了這個漏洞,不過他們認為這問題可大可小,因為駭客只要散布圖像就能取得企業和個人的敏感資料。
不過 CyberArk 同時亦讚賞 Microsoft 行動迅速, Microsoft 在 CyberArk 通報發現漏洞當日經已阻止子網域被騎劫,至 4 月 20 日再推出修正,其實用戶毋須任何操作。
