29.04.2020

Böse GIFs: Microsoft-Teams-Konten mit verminten Bildern kapern

Über manipulierte GIFs haben es Forscher geschafft, Microsoft Teams Session-Token abzuluchsen, mit denen man Konten des Dienstes übernehmen kann. Sicherheitsforscher haben eine Schwachstelle in der Online-Kollaborationsplattform Microsoft Teams gefunden, über die sich mit Hilfe von manipulierten Bildern die Anmelde-Session eines anderen Benutzers übernehmen lässt. So kann ein Angreifer fremde Nutzerkonten allein dadurch kapern, dass die Besitzer dieser Konten ein bestimmtes GIF angezeigt bekommen. Dieser Angriff ließe sich auch automatisiert ausführen, um zum Beispiel alle Teams-Konten einer ganzen Organisation anzugreifen und vertrauliche Informationen, Firmen-Interna und Passwörter abzugreifen.

Die Sicherheitsfirma CyberArk, die diesen Angriff auf Microsoft Teams entdeckte, fand zwei für sie interessante Domains: Sowohl aadsync-test.teams.microsoft.com als auch data-dev.teams.microsoft.com ließen sich kapern und für die Zwecke der Forscher missbrauchen. Indem sie es schafften, Traffic für diese Domains auf eigene Server umzuleiten, schafften sie es, dass Microsoft Teams die Session-Token der Nutzer, die das bösartige GIF angezeigt bekamen, an sie schickte. Jedes Mal, wenn ein Nutzer dieses GIF anschaute, erhielten die Forscher per Session-Token eine Stunde lang Zugang zu dessen Teams-Konto.

Über eine solche Lücke könnten sich Angreifer theoretisch durch eine ganze Firma hangeln und haufenweise sensible Daten wie Geschäftsgeheimnisse oder Passwörter für die IT-Infrastruktur der Organisation abgreifen. Außerdem eignet sich ein solcher Angriff hervorragend für CEO Fraud. Man kapert so lange Konten, bis man die Kontrolle über das Teams-Konto eines hochrangigen Mitarbeiters hat und ordnet dann an, Gelder zu überweisen oder Finanzdaten herauszugeben. Mit der in Teams integrierten Kalender-Funktionalität lassen sich solche Betrügereien dann auch genau auf den Arbeitsalltag der Organisation abstimmen, um weniger Aufsehen zu erregen. Vor allem jetzt gerade, wo immer mehr Firmen auf Microsoft Teams und ähnliche Dienste umsteigen und eh fast alle Mitarbeiter im Homeoffice arbeiten, haben solche Angriffe wohl besonders hohe Erfolgschancen.