微软(Microsoft)在其团队的工作场所视频聊天和协作平台上修补了一个类似蠕虫的漏洞，该漏洞可能允许攻击者通过向参与者发送一个恶意链接，指向一个看似无害的图像，从而接管一个组织的全部团队账户。

这一影响桌面版和网络版应用程序的漏洞是由CyberArk的网络安全研究人员发现的。在3月23日负责任地披露了调查结果之后，微软在4月20日发布的更新中修补了这一漏洞。

“即使攻击者没有从一个团队的账户中收集到很多信息，他们仍然可以使用这个账户来遍历整个组织(就像一个蠕虫一样)，”CyberArk的奥马尔·特萨尔法蒂(Omer Tsarfati)说。

“最终，攻击者可以访问您组织的团队账户的所有数据——收集机密信息、会议和日历信息、竞争数据、秘密、密码、私人信息、商业计划等。”

与此同时，Zoom和微软团队等视频会议软件的需求也出现了前所未有的激增，因为在冠状病毒大流行期间，世界各地的企业、学生、甚至政府雇员都被迫在家里工作和社交。

子域接管漏洞

这个缺陷源于微软团队处理映像资源认证的方式。每次打开应用程序时，都会创建一个访问令牌、一个JSON Web令牌(JWT)，允许用户查看对话中个人或其他人共享的图像。

CyberArk研究人员发现,他们可以得到一个cookie(称为“authtoken”)授予访问资源服务器(api.spaces.skype.com),并使用它来创建上述“skype牌”,从而使它们不受限制的权限发送消息,读取信息,创建组,添加新用户或删除用户组,通过团队改变权限组API。

这还不是全部。因为authtoken cookie被设置为发送到teams.microsoft。研究人员表示，他们发现了两个容易受到收购攻击的子域名(aadsync-test.teams.microsoft.com和data-dev.teams.microsoft.com)。

研究人员表示:“如果攻击者能够以某种方式强迫用户访问已被接管的子域，受害者的浏览器将把这个cookie发送到攻击者的服务器，而攻击者(在收到authtoken之后)可以创建一个skype令牌。”“在做了所有这些之后，攻击者可以窃取受害者团队的账户数据。”

现在有了受攻击的子域，攻击者可以通过发送一个恶意链接(比如GIF)给不知情的受害者或群聊的所有成员来利用这个漏洞。因此，当接收方打开消息时，浏览器将尝试加载图像，但不是在将authtoken cookie发送到受损的子域之前。

然后，坏的参与者可以滥用这个authtoken cookie来创建一个skype令牌，从而访问所有受害者的数据。更糟糕的是，任何局外人都可以发起攻击，只要交互涉及一个聊天界面，比如邀请参加一个潜在工作面试的电话会议。

研究人员说:“受害者永远不会知道他们被攻击了，这使得利用这一弱点变得隐秘和危险。”

以视频会议为主题的公司攻击正在上升。

随着COVID-19的流行和对视频会议服务需求的增加，远程工作已经成为攻击者盗取证书和分发恶意软件的一种有利可图的策略。

来自Proofpoint和Abnormal Security的最新研究发现，社交工程活动要求用户参加Zoom会议，或通过点击旨在窃取登录凭证的恶意链接来解决Cisco WebEx的安全漏洞。

面对这些新出现的威胁，建议用户小心网络钓鱼诈骗，并确保视频会议软件是最新的。

（来源：Ravie Lakshmanan）