Được phát hiện bởi các nhà nghiên cứu an ninh mạng CyberArk (Mỹ), lỗ hổng này ảnh hưởng đến hai phiên bản desktop và web của ứng dụng. Sau khi được phát hiện và báo cáo ngày 23/3, Microsoft đã khẩn trương phát hành bản vá vào ngày 20/4.
Nhà nghiên cứu Omer Tsarfati của CyberArk nhận định, ngay cả khi không thu thập được nhiều thông tin từ các tài khoản Teams, kẻ tấn công vẫn có thể sử dụng tài khoản để truy cập vào toàn bộ tổ chức. Điều này lý giải cho cơ chế hoạt động lỗ hổng được ví như worm. Cuối cùng, kẻ tấn công có thể truy cập tất cả dữ liệu từ tài khoản Teams của tổ chức, thu thập thông tin bí mật: những cuộc họp và thông tin lịch trình, dữ liệu cạnh tranh, mật khẩu, thông tin cá nhân, kế hoạch kinh doanh…
Sự phát triển của cách thức tấn công này xuất hiện trên các ứng dụng hội họp trực tuyến như Zoom và Microsoft Teams khi có sự gia tăng nhu cầu từ phía người dùng. Đặc biệt trong đại dịch COVID-19, khi học sinh, sinh viên các nhân viên doanh nghiệp và nhà nước trên khắp thế giới phải làm việc trực tuyến tại nhà.
Lỗ hổng chiếm tên miền phụ
Lỗ hổng bắt nguồn từ cách Microsoft Teams xử lý xác thực đến tài nguyên hình ảnh. Mỗi khi ứng dụng được mở, mã thông báo truy cập định dạng JSON (JWT) được tạo, cho phép người dùng xem hình ảnh được chia sẻ trong một cuộc trò chuyện.
Các nhà nghiên cứu của CyberArk nhận thấy rằng họ có thể tạo một cookie được gọi là “authtoken” cấp quyền truy cập vào một máy chủ tài nguyên (api.spaces.skype.com) và sử dụng nó để tạo ra “skype token”, cho phép gửi tin nhắn, đọc tin nhắn, tạo nhóm, thêm người dùng mới hoặc xóa người dùng khỏi nhóm, thay đổi quyền trong nhóm thông qua API nhóm.
Authtoken cookie còn có thể được đặt để gửi cho teams.microsoft.team hoặc bất kỳ tên miền phụ nào của nó. Các nhà nghiên cứu cho biết họ đã phát hiện ra hai tên miền phụ là aadsync-test.teams.microsoft.com và data-dev.teams.microsoft.com dễ bị tấn công và chiếm đoạt.
Khi đã chiếm được các tên miền phụ, kẻ tấn công có thể khai thác lỗ hổng chỉ bằng cách gửi một liên kết độc hại, ví dụ như một tệp tin hình ảnh dạng GIF cho một nạn nhân ít ngờ đến hoặc cho tất cả các thành viên của một cuộc trò chuyện nhóm. Khi người dùng mở tin nhắn, trình duyệt sẽ tải hình ảnh sau khi gửi authtoken cookie đến tên miền phụ bị chiếm quyền.
Sau đó, kẻ xấu có thể lạm dụng authtoken cookie này để tạo skype token rồi truy cập vào tất cả dữ liệu của nạn nhân. Thậm chí, cuộc tấn công có thể gây ảnh hưởng đến bất kỳ người ngoài nào từng có tương tác liên quan đến giao diện trò chuyện, chẳng hạn như từng nhận được lời mời tham gia cuộc gọi hội nghị cho một cuộc phỏng vấn.
Các nhà nghiên cứu cho biết “Nạn nhân sẽ không bao giờ biết rằng họ đã bị tấn công, việc khai thác lỗ hổng được thực hiện trong suốt và rất nguy hiểm”.
Số cuộc tấn công vào hội nghị trực tuyến ngày càng gia tăng
Trong bối cảnh đại dịch COVID-19, việc chuyển sang làm việc từ xa các dịch vụ hội nghị trực tuyến ngày càng tăng. Việc này đã giúp những kẻ tấn công có thêm cách thức mới để đánh cắp thông tin đăng nhập và phân tán phần mềm độc hại.
Nghiên cứu gần đây từ Proofpoint và Abnormal Security đã phát hiện ra các chiến dịch tấn công phi kỹ thuật yêu cầu người dùng tham gia cuộc họp Zoom hoặc khai thác lỗ hổng bảo mật của Cisco WebEx bằng cách nhấp vào các liên kết độc hại đánh cắp thông tin đăng nhập.
Trước những mối đe dọa trên, người dùng cần nâng cao kỹ năng phòng tránh tấn công lừa đảo và đảm bảo luôn cập nhật phiên bản mới nhất của những ứng dụng hội nghị trực tuyến.
Mai Hương
The Hacker New
08:00 | 21/06/2019
14:00 | 27/03/2020
10:00 | 28/09/2022
15:35 | 22/07/2013
17:00 | 07/12/2020
14:00 | 02/10/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
10:00 | 13/09/2024
Các chuyên gia bảo mật từ Palo Alto Networks (Hoa Kỳ) vừa phát hiện một chiến dịch tấn công bằng mã độc mới với thủ đoạn tinh vi thông qua kết quả tìm kiếm trên Google.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
10:00 | 23/07/2024
Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024