微软修复了团队中蠕虫般的帐户劫持漏洞

微软(Microsoft Corp.)更新了其“微软团队协作服务”(Microsoft Teams collaboration service)，以修复一个安全漏洞。这个漏洞可能会让黑客通过在一个聊天频道上发布恶意图片来劫持用户账户。

这一漏洞最初是由上市网络安全供应商CyberArk Software Inc.发现的，该公司在今天的一份报告中详细介绍了其发现。

微软团队有一个认证机制，确保用户有权限在聊天频道中查看与他们共享的图片。在验证了人员具有访问权限之后，该机制将为他们分配一个惟一的身份验证令牌。问题是，这个证书不仅可以用来查看图像。

CyberArk研究员欧默·特萨尔法蒂(Omer Tsarfati)发现，用户的图像浏览令牌可能被黑客滥用，从而劫持他们的微软团队账户。该漏洞使得黑客能够读取受害者的信息，并代表受害者向同事发送信息，从而危害公司的更多人。

Tsarfati今天写道:“关于这一漏洞最大、最可怕的事情之一是，它可以像蠕虫病毒一样自动传播。”

要利用这一漏洞，黑客首先需要访问目标公司运营的微软团队聊天频道。根据CyberArk的说法，一个足智多谋的攻击者可以通过破坏一个保护很差的用户账户，或者通过欺骗工作人员发送钓鱼邮件等手段来达到这一目的。

一旦进入，攻击者就可以将带有恶意HTML属性的GIF图像文件发布到聊天室，劫持所有查看图像的用户的图像查看令牌。“当受害者打开此消息时，受害者的浏览器将尝试加载图像，这将发送authtoken cookie到受损的子域。”

问题是，图像不能将数据发送到任何子域，而只能发送到与Microsoft团队服务器绑定的子域，这会使攻击变得复杂。然而，CyberArk发现了两个易受攻击的微软团队的子域名，这些子域名很容易被接管，这意味着在补丁发布之前就有可能实施攻击。

CyberArk的Tsarfati写道:“每一个可能受到这一漏洞影响的账户也可能成为其他所有公司账户的扩散点。”“GIF也可以发送到组(又名团队)，这使得攻击者更容易用更少的步骤更快地控制用户。”

本月早些时候，微软修补了这个漏洞，并保护了易受攻击的子域名。