Microsoft Teams: Schwachstelle erlaubte Kontenübernahme

Publiziert am 27. April 2020 von Günter Born

[English]Microsoft musste seinen Teams-Client zusätzlich absichern, nachdem Sicherheitsforscher eine Schwachstelle gefunden hatten. Die Anzeige eines GIF-Bildes ließ sich von Angreifern zur Kontenübernahme missbrauchen. Microsoft hat inzwischen Maßnahmen ergriffen, um diese Art des Angriffs zu verhindern.

Anzeige

Microsoft Teams ist Microsofts Kommunikations- und Kollaborationsplattform, die Chat, Videokonferenzen, Dateispeicherung, Zusammenarbeit an Dateien und Integration mit Anwendungen kombiniert. Microsoft Teams ist Bestandteil eines Office 365-Abonnements und steht daher in Unternehmen vielen Mitarbeitern zur Verfügung. Zudem bietet Microsoft kostenfreie Versionen von Teams an. In Zeiten der Coronavirus-Pandemie wird Microsoft Teams ja verstärkt eingesetzt, um Mitarbeiter mit Home-Office die Kommunikation im Team zu ermöglichen oder Meetings abzuhalten. Da ist es wichtig, dass die Software sicher verwendet werden kann. Angriffe auf Videokonferenzsoftware werden zur Zeit verstärkt durchgeführt, da viele Leute im Home-Office arbeiten.

GIF-Bild reichte für die Kontenübernahme

Sicherheitsforscher von CyberArk sind im Microsoft Teams-Client auf eine Schwachstelle gestoßen, die einen Kontenübernahme durch ein GIF-Bild ermöglichte. Es reichte, dass der Angreifer eine GIF-Datei an ein Opfer sendete. Damit erhielt er die Kontrolle über dessen Konto. Diese Schwachstelle hatte das Potenzial, alle Microsoft-Team-Konten einer Organisation zu übernehmen. Omer Tsarfati hat das Ganze am 27. April 2020 in diesem Blog-Beitrag offen gelegt.

Cookies: Die Sache mit dem Glückskeks

Omer Tsarfati schreibt, dass den Sicherheitsforschern bei der Untersuchung der Software etwas sehr Interessantes aufgefallen sei. Es geht darum, wie Microsoft Teams das Authentifizierungs-Zugriffstoken an die Bildressourcen weitergibt. Jedes Mal, wenn ein Benutzer Teams öffnet, erstellt der Client ein neues temporäres Token bzw. Zugriffstoken. Dieses Zugriffstoken ist ein JSON Web Token (JWT) und wird von Microsofts Authentifizierungsserver "login.microsoftonline.com" vergeben.

Neben dem Token für den Erstzugriff gibt es weiteres Tokens, die für Teams erstellt werden. Einige werden für den Zugriff auf verschiedene Dienste wie SharePoint, Outlook und viele andere verwendet. Eines dieser Tokes (das sogenannte Skype-Token) wird vom Teams-Client verwendet, um einem Benutzer Bilder anzuzeigen, die von ihm und einer Gruppe gemeinsam genutzt werden. Da diese Bilder auf den Servern von Microsoft gespeichert sind, wodurch erfolgt eine Berechtigungskontrolle.

Anzeige

CyberArk-Forscher fanden heraus, dass sie in der Lage waren, ein Authtoken-Cookie zu erhalten, das Zugang zu einem Ressourcenserver (api.spaces.skype.com) gewährt. Darüber konnten sie ein Skype-Token erstellen, wodurch die Sicherheitsforscher uneingeschränkte Berechtigungen zum Senden und Lesen von Nachrichten, Erstellen von Gruppen, Hinzufügen neuer Benutzer oder Entfernen von Benutzern aus Gruppen, Ändern von Berechtigungen in Gruppen über die Team-API erhielten.

Da das Authtoken-Cookie so eingestellt ist, dass es an teams.microsoft.team oder eine seiner Subdomänen gesendet wird, entdeckten die Forscher zwei Subdomänen (aadsync-test.teams.microsoft.com und data-dev.teams.microsoft.com), die für Übernahmeangriffe anfällig waren.

"Wenn ein Angreifer einen Benutzer auf die übernommenen Subdomänen locken kann, sendet der Browser des Opfers dieses Cookie an den Server des Angreifers. Der Angreifer kann (nach Erhalt des Authtokens) ein Skype-Token erstellen.", schreiben die Sicherheitsforscher. "Anschließen kann der Angreifer die Kontodaten des Teams des Opfers stehlen".

Teams mit GIF-Bild

Sobald der Angreifer Kontrolle über die kompromittierten Unterdomänen erlangte, hätte er einfach einen bösartigen Link, beispielsweise ein GIF, an ein ahnungsloses Opfer oder an alle Mitglieder eines Gruppen-Chats senden können. Öffnen die Empfänger die Nachricht, schickt der Browser die Authtoken-Cookies an die kompromittierte Subdomäne, um das Bild anzeigen zu können.

Anschließend kann der Angreifer das Authtoken-Cookie verwenden, um ein Skype-Token zu erstellen und somit auf alle Daten des Opfers zugreifen. Der Angriff kann auch durch Außenstehende erfolgen, die z.B. per Link zu einer Telefon-Konferenz und damit Zugriff auf den Chat erhalten. "Das Opfer bekommt nicht mit, dass es angegriffen wurde, was die Ausnutzung dieser Schwachstelle gefährlich macht", so die Forscher. Der Angriff klappt sowohl über die Web-Variante als auch über die Desktop-App des Teams-Clients.

Microsoft hat Maßnahmen gegen diese Bedrohung ergriffen, nachdem es über die Schwachstelle informiert wurde. So wurden die falsch konfigurierten DNS-Einträge, die die Übernahme der beiden Unterdomänen ermöglichten, gelöscht. Und es wurde weitere Maßnahmen ergriffen, um ähnliche Fehler in Zukunft zu vermeiden. Zusammenfassende Artikel finden sich bei The Hacker News und Bleeping Computer.

Ähnliche Artikel:
MS Teams: Bug verhindert Whiteboard-Nutzung in Europa
Verursacht Windows 10 VPN-Bug-Fix Update Teams-Probleme?
Einschränkungen bei MS Teams, OneNote, Office365
Microsoft Teams hat 44 Millionen DAUs – und es klemmt
MS Teams wegen Zertifikatsfehler down (3.2.2020)
Microsoft Teams und die Sicherheit …
Zoom kappt Datentransfer zu Facebook in iOS-App
Apple aktualisiert macOS, um Zoom-Lücke zu schließen
Zoom-Lücke: Auch RingCentral und Zhumu betroffen
Zoom for macOS weiter angreifbar?
Mac-Update schließt Zoom-Lücke, Apple Watch: Walki Talkie-App deaktiviert
Zoom: Nutzer-Explosion und Sicherheitsprobleme
Sicherheitsbedenken: Zoom in einigen US-Schulen verbannt
Zoom: von 200 auf 300 Millionen Nutzer pro Tag

Anzeige
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Microsoft Teams: Schwachstelle erlaubte Kontenübernahme

  1. Mance sagt:
    28. April 2020 um 11:31 Uhr

    @GIF-Bild reichte für die Kontenübernahme

    Damals hatte ich da

    https://www.borncity.com/blog/2020/03/18/coronavirus-phishing-wellen-und-cyber-angriffe/#more-229704

    geschrieben:
    …ob alleine der Erhalt einer E-Mail mit Anhang, ohne weiteres Zutun, also nicht öffnen und nichts anklicken, zur Installation von Schadsoftware führen kann. Nach meinem jetzigen bescheidenen Kenntnisstand, nein…

    Da kommen mir jetzt Zweifel. Wenn hier schon ein GIF-Bild ohne weitere Aktionen Schaden anrichten kann dann gute Nacht. Oder besteht da kein Zusammenhang? Die verlinkten Artikel sind für mich rel. kompliziert, sodass ich nicht beurteilen kann, ob das auch auf einfache E-Mail zutrifft.

    Antworten
    • Günter Born sagt:
      28. April 2020 um 12:18 Uhr

      Sind zwei verschiedene Schuhe. Eine reine E-Mail nutzt imho keine Tokens für GIF-Bilder, die auf einem Server liegen – obwohl solche Konstruktionen wohl denkbar wären. Dann aber in Form eines Links auf dem Bild, das dann in einem Browser geöffnet wird.

      Die üblichen Mail-Programme sind auch so eingestellt, dass externe Inhalte (wie Pixel-Images etc.) nicht ohne Zutun des Benutzers nachgeladen werden.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.