นักวิจัยเผยผู้ใช้ Microsoft Teams มีโอกาสถูกสวมบัญชี ถ้าเปิดรับไฟล์ภาพ GIF โดยรายงานนี้นักวิจัยจาก บริษัท CyberArk ได้รายงานช่องโหว่ใน Microsoft Teams ซึ่งเป็นช่องโหว่ขโมย token การยืนยันตัวตน ส่งผลให้แฮกเกอร์ สามารถสวมรอยบัญชีได้ การโจมตีทำได้โดยการส่งไฟล์ภาพ GIF
โดยช่องโหว่ของ Microsoft Teams เกิดจากการใช้การยืนยันตัวตนในรูปแบบ token โดยมีลักษณะเป็นไฟล์ cookie ที่รับมาจากเซิร์ฟเวอร์ของทาง Microsoft ซึ่ง token ดังกล่าวจะใช้เพื่อการติดต่อสื่อสารผ่าน Microsoft Teams รวมถึงเข้าใช้งานบริการอื่น ๆ ของ Microsoft (เช่น SharePoint, Outlook) โดยไม่จำเป็นต้องล็อกอินใหม่ ในการใช้งานแต่ละครั้งจะมีการสร้างหลาย token ขึ้นอยู่กับสิทธิ์และจุดประสงค์ของการใช้ token นั้นๆ (เช่น อ่านข้อความ หรือดูรูปภาพ) โดย token สำหรับการใช้งานใน Microsoft Teams จะถูกจำกัดให้สามารถใช้งานได้กับเซิร์ฟเวอร์ที่อยู่ภายใต้ subdomain ของ teams.microsoft.com เท่านั้น
แต่นักวิจัยพบว่ามี subdomain จำนวน 2 รายการภายใต้ teams.microsoft.com สามารถถูกโจมตีในลักษณะ subdomain takeover ได้ เช่น ผู้ประสงค์ร้ายสามารถจด subdomain ดังกล่าว หรือใช้วิธีการบางอย่างเพื่อให้ได้ subdomain นั้นมาอยู่ในการควบคุม ซึ่งหากแฮกเกอร์สามารถยึดครอง subdomain และทำให้ Microsoft Teams ส่งข้อมูล token มายัง subdomain ดังกล่าวได้ ก็มีโอกาสที่จะสวมรอยบัญชีที่ส่ง token นั้นมาได้
ประเด็นที่ นักวิจัยเผยผู้ใช้ Microsoft Teams มีโอกาสถูกสวมบัญชี นั้น นักวิจัยพบว่าการโจมตีภายใต้เงื่อนไขนั้นสามารถทำได้โดยการส่งไฟล์ภาพ GIF โดยหากเหยื่อได้รับข้อความและเปิดดูรูปภาพ ตัว token ก็จะถูกส่งไปยัง subdomain ที่อยู่ภายใต้การควบคุมของแฮกเกอร์ ซึ่ง token ที่ได้นี้สามารถนำไปสวมรอยเพื่ออ่าน ส่งข้อความ หรือดำเนินการอื่น ๆ ภายใต้สิทธิ์ของบัญชีผู้ใช้นั้นได้
อย่างไรก็ตามช่องโหว่นี้ยังไม่มีคนมาใช้โจมตีจริง ล่าสุดทาง Microsoft ได้แก้ไขข้อผิดพลาด subdomain takeover รวมถึงออกอัปเดตเวอร์ชันใหม่เพื่อแก้ปัญหาดังกล่าวเมื่อวันที่ 20 เมษายน 2563 จากปกติจะมีการอัปเดตแอป Microsoft Teams ทุก 2 สัปดาห์ โดยเวอร์ชัน desktop จะดาวน์โหลดอัปเดตเวอร์ชันล่าสุดมาติดตั้งโดยอัตโนมัติ โดยเวอร์ชัน 1.3.00.8663 อัปเดตล่าสุดเมื่อวันที่ 20 เมษายน 2563 ที่แก้ปัญหานี้แล้ว ดังนั้นหากใครใช้ Microsoft Teams เวอร์ชั่นที่เก่ากว่า 1.3.00.8663 ควรอัปเดตแอปทันทีเพื่อความปลอดภัย
อ้างอิง CyberArk
Cover Microsoft