Setelah melihat bagaimana Microsoft Teams menangani file gambar, peneliti keamanan menemukan cara untuk peretasan akun Microsoft Teams hanya dengan mengirimkan file gambar seperti file GIF. Metode ini dapat digunakan untuk versi desktop dan web Microsoft Teams agar bisa mendapatkan akses ke beberapa akun sekaligus dan mencuri percakapan dan thread yang ada.
Kerentanan yang nantinya bisa memungkinkan peretasan akun Microsoft Teams tersebut ditemukan oleh para peneliti keamanan siber di CyberArk. Setelah temuan itu dilaporkan pada 23 Maret, Microsoft memperbaiki kerentanan dalam pembaruan yang dirilis pada 20 April kemarin.
Perkembangan ini muncul ketika akses perangkat lunak konferensi video seperti Zoom dan Microsoft Teams sedang terjadi lonjakan yang belum pernah terjadi sebelumnya ketika bisnis, mahasiswa, dan bahkan pegawai pemerintah di seluruh dunia dipaksa untuk bekerja dan bersosialisasi dari rumah selama pandemi virus corona COVID-19.
Kerentanan Pengambilalihan Subdomain
Kerentanan ini berasal dari cara Microsoft Teams menangani otentikasi ke sumber daya gambar. Setiap kali aplikasi dibuka, token akses, JSON Web Token (JWT) yang dibuat selama proses, memungkinkan pengguna untuk melihat gambar yang dibagikan oleh individu atau orang lain dalam percakapan.
Peneliti CyberArk menemukan bahwa mereka dapat memperoleh cookie (yang disebut “authtoken“) yang memberikan akses ke server sumber daya (api.spaces.skype.com), dan menggunakannya untuk membuat “skype token,” yang disebutkan di atas sehingga memberikan mereka izin untuk mengirim pesan, membaca pesan, membuat grup, menambahkan pengguna baru atau menghapus pengguna dari grup, mengubah izin dalam grup melalui API Microsoft Teams.
Bukan itu saja, karena cookie authtoken akan dikirim ke teams.microsoft.team atau salah satu subdomainnya, para peneliti menemukan dua subdomain (aadsync-test.teams.microsoft.com dan data-dev.teams.microsoft.com) yang rentan.
Baca Juga: “Serangan Phishing Ini Gunakan Notifikasi Zoom Palsu“
“Jika penyerang entah bagaimana dapat menggiring pengguna untuk mengunjungi sub-domain yang telah diambil alih, browser korban akan mengirimkan cookie ini ke server penyerang, dan penyerang (setelah menerima authtoken) dapat membuat skype token. Setelah melakukan semua ini, penyerang dapat mencuri data akun Microsoft Teams korban” menurut pernyataan peneliti di CyberArk.
Setelah dipersenjatai dengan subdomain yang disusupi, penyerang dapat mengeksploitasi kerentanan dengan hanya mengirim tautan berbahaya atau mengirim file seperti GIF kepada korban yang kurang waspada, atau ke semua anggota obrolan grup. Jadi ketika penerima membuka pesan, browser mencoba memuat gambar dan mengirimkan cookie ke subdomain yang dikompromikan dan dengan demikian memungkinkan penyerang untuk membuat skype token yang menyediakan akses penuh ke akun.
“Korban tidak akan pernah tahu bahwa mereka telah diserang, yang membuat eksploitasi kerentanan ini tersembunyi dan berbahaya,” kata para peneliti.
https://fast.wistia.com/embed/medias/f4b25lcyzm
