
Microsoft telah ditambal cacing-seperti kerentanan dalam Tim kerja video chat dan platform kolaborasi yang dapat memungkinkan penyerang untuk mengambil alih organisasi daftar nama seluruh Tim account hanya dengan mengirimkan peserta link berbahaya untuk yang tidak bersalah-mencari gambar.
Cacat, berdampak pada kedua desktop dan versi web dari aplikasi ini, ditemukan oleh peneliti cybersecurity di CyberArk. Setelah temuan itu secara bertanggung jawab diungkapkan pada tanggal 23 Maret, Microsoft patch kerentanan di update dirilis pada 20 April.
“Bahkan jika penyerang tidak mengumpulkan banyak informasi dari Tim’ akun, mereka masih bisa menggunakan akun tersebut untuk melintasi seluruh organisasi (seperti cacing),” CyberArk ini Omer Tsarfati kata.
“Pada akhirnya, penyerang dapat mengakses semua data dari organisasi Tim account — mengumpulkan informasi rahasia, pertemuan dan informasi kalender, data yang kompetitif, rahasia, password, informasi pribadi, rencana bisnis, dll.”
Perkembangan ini datang sebagai software video conferencing seperti Zoom dan Tim Microsoft untuk menyaksikan sebuah gelombang belum pernah terjadi sebelumnya dalam permintaan sebagai pelaku bisnis, mahasiswa, dan pegawai pemerintah di seluruh dunia dipaksa untuk bekerja dan bersosialisasi dari rumah selama coronavirus pandemi.
Subdomain Pengambilalihan Kerentanan
Cacat ini berasal dari cara Tim Microsoft untuk menangani otentikasi untuk sumber gambar. Setiap kali aplikasi dibuka, akses token, sebuah JSON Web Token (JWT) dibuat selama proses, yang memungkinkan pengguna untuk melihat gambar-gambar yang dimiliki oleh individu atau orang lain dalam percakapan.
CyberArk peneliti menemukan bahwa mereka mampu untuk mendapatkan sebuah cookie (disebut “authtoken”) yang memberikan akses ke sumber daya server (api.spaces.skype.com), dan digunakan untuk membuat tersebut “skype token,” demikian memberi mereka terkekang izin untuk mengirim pesan, membaca pesan, membuat grup, menambahkan pengguna baru atau menghapus pengguna dari kelompok, perubahan izin dalam kelompok melalui Tim API.
Itu tidak semua. Sejak authtoken cookie akan dikirim ke tim.microsoft.tim atau subdomain, para peneliti menemukan dua subdomain (aadsync-test.teams.microsoft.com dan data-dev.teams.microsoft.com) yang rentan terhadap pengambilalihan serangan.
“Jika seorang penyerang dapat entah bagaimana memaksa pengguna untuk mengunjungi subdomain yang telah diambil alih, korban browser akan mengirimkan cookie ke komputer server, dan penyerang (setelah menerima authtoken) dapat membuat token skype,” para peneliti menyatakan. “Setelah melakukan semua ini, penyerang dapat mencuri korban Tim data akun.”
Sekarang dipersenjatai dengan sistem subdomain, seorang penyerang bisa mengeksploitasi kelemahan dengan hanya mengirimkan link berbahaya, mengatakan GIF, untuk korban tidak curiga, atau untuk semua anggota dari sebuah group chat. Dengan demikian saat penerima membuka pesan, browser mencoba untuk memuat gambar, tetapi tidak sebelum mengirim authtoken cookies untuk sistem dan sub-domain.
Para aktor yang buruk kemudian dapat menggunakan ini authtoken cookie untuk membuat skype token dan oleh karena itu akses semua korban data. Lebih buruk lagi, serangan dapat dipasang oleh orang luar sebagai interaksi yang melibatkan chatting antarmuka, seperti undangan untuk panggilan konferensi untuk potensi wawancara kerja.
“Korban tidak akan pernah tahu bahwa mereka telah diserang, membuat eksploitasi dari kerentanan ini tersembunyi dan berbahaya,” kata para peneliti.
Videoconference Perusahaan-Bertema Serangan Meningkat
Pergeseran ke remote bekerja di tengah-tengah berlangsungnya COVID-19 pandemi dan meningkatnya permintaan untuk video conferencing jasa telah menjadi menguntungkan taktik bagi penyerang untuk mencuri kredensial dan mendistribusikan malware.
Penelitian terbaru dari Proofpoint dan Abnormal Keamanan ditemukan rekayasa sosial kampanye yang meminta pengguna untuk bergabung Zoom pertemuan atau alamat Cisco WebEx kerentanan keamanan dengan mengklik link berbahaya yang dirancang untuk mencuri login.
Dalam menghadapi ancaman yang muncul, disarankan bahwa pengguna watch out untuk penipuan phishing dan memastikan software video conferencing tetap up-to-date.