按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

微軟修復 Teams 重大資安漏洞:一張 GIF 圖檔即可綁架整個單位的 Teams 帳號

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-20
  • 點閱次數:1260
微軟修復 Teams 重大資安漏洞:一張 GIF 圖檔即可綁架整個單位的 Teams 帳號 TWCERT/CC

資安廠商發現 Microsoft Teams 的一個資安漏洞,駭侵者可利用該漏洞傳送一張 GIF 圖檔,受害者讀取後便會遭駭;駭侵者甚至可藉以散布這種攻擊手法,並且取得整個單位的 Teams 帳號控制權限。

資安廠商 CyberArk 發現 Microsoft Teams 的一個資安漏洞,並發展出概念證實的攻擊手法,證明駭侵者可利用該漏洞傳送一張 GIF 圖檔來攻擊 Microsoft Teams。

該公司展示的攻擊方法,係利用 Microsoft Teams 的 DNS 組態設定漏洞;攻擊者只要先劫持兩個 Microsoft Teams 的子網域,取得兩個驗證用的 token,再傳送一張 GIF 圖檔給受害者,受害者讀取後便會遭駭。

受害者的 Microsoft Teams 被駭侵者接管後,駭侵者即可取得受害者帳號內的資訊和檔案,甚至可藉由呼叫 Teams API 進行各種操作,散布這種攻擊手法,最後取得整個單位的 Teams 帳號控制權限。

CyberArk 指出,駭侵者除了可以取得用戶在 Microsoft Teams 中的共享檔案外,也能取得成員間的對話記錄,甚至如登入資訊、機密檔案等資訊。

在 CyberArk 提出的報告中,包括一支示範影片,詳細說明整個漏洞機制與攻擊示範流程。

這個漏洞同時影響 Microsoft Teams 的網頁版與桌機版應用程式。

CyberArk 於三月將此一發現向微軟通報,微軟很快就修復了這兩個設定出現問題導致易受攻擊的子網域,並且在日前釋出修補程式,修復了這個資安漏洞。

回頁首