2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
微軟(Microsoft Corp.)更新了其“微軟團(tuán)隊(duì)協(xié)作服務(wù)”(Microsoft Teams collaboration service),以修復(fù)一個(gè)安全漏洞。這個(gè)漏洞可能會(huì)讓黑客通過在一個(gè)聊天頻道上發(fā)布惡意圖片來劫持用戶賬戶。
這一漏洞最初是由上市網(wǎng)絡(luò)安全供應(yīng)商CyberArk Software Inc.發(fā)現(xiàn)的,該公司在今天的一份報(bào)告中詳細(xì)介紹了其發(fā)現(xiàn)。
微軟團(tuán)隊(duì)有一個(gè)認(rèn)證機(jī)制,確保用戶有權(quán)限在聊天頻道中查看與他們共享的圖片。在驗(yàn)證了人員具有訪問權(quán)限之后,該機(jī)制將為他們分配一個(gè)惟一的身份驗(yàn)證令牌。問題是,這個(gè)證書不僅可以用來查看圖像。
CyberArk研究員歐默·特薩爾法蒂(Omer Tsarfati)發(fā)現(xiàn),用戶的圖像瀏覽令牌可能被黑客濫用,從而劫持他們的微軟團(tuán)隊(duì)賬戶。該漏洞使得黑客能夠讀取受害者的信息,并代表受害者向同事發(fā)送信息,從而危害公司的更多人。
Tsarfati今天寫道:“關(guān)于這一漏洞最大、最可怕的事情之一是,它可以像蠕蟲病毒一樣自動(dòng)傳播。”
要利用這一漏洞,黑客首先需要訪問目標(biāo)公司運(yùn)營(yíng)的微軟團(tuán)隊(duì)聊天頻道。根據(jù)CyberArk的說法,一個(gè)足智多謀的攻擊者可以通過破壞一個(gè)保護(hù)很差的用戶賬戶,或者通過欺騙工作人員發(fā)送釣魚郵件等手段來達(dá)到這一目的。
一旦進(jìn)入,攻擊者就可以將帶有惡意HTML屬性的GIF圖像文件發(fā)布到聊天室,劫持所有查看圖像的用戶的圖像查看令牌。“當(dāng)受害者打開此消息時(shí),受害者的瀏覽器將嘗試加載圖像,這將發(fā)送authtoken cookie到受損的子域?!?/p>
問題是,圖像不能將數(shù)據(jù)發(fā)送到任何子域,而只能發(fā)送到與Microsoft團(tuán)隊(duì)服務(wù)器綁定的子域,這會(huì)使攻擊變得復(fù)雜。然而,CyberArk發(fā)現(xiàn)了兩個(gè)易受攻擊的微軟團(tuán)隊(duì)的子域名,這些子域名很容易被接管,這意味著在補(bǔ)丁發(fā)布之前就有可能實(shí)施攻擊。
CyberArk的Tsarfati寫道:“每一個(gè)可能受到這一漏洞影響的賬戶也可能成為其他所有公司賬戶的擴(kuò)散點(diǎn)?!薄癎IF也可以發(fā)送到組(又名團(tuán)隊(duì)),這使得攻擊者更容易用更少的步驟更快地控制用戶?!?/p>
本月早些時(shí)候,微軟修補(bǔ)了這個(gè)漏洞,并保護(hù)了易受攻擊的子域名。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。