พบช่องโหว่ Microsoft Teams คลิกภาพ GIF เสี่ยงอาจถูกควบคุมเครื่อง

30 เมษายน 2020

IT 360º ไอที ง่ายๆ รอบๆ ตัว

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

นักวิจัยด้านการรักษาความปลอดภัยไซเบอร์จาก CybetArk ค้นพบช่องโหว่บน Microsoft Teams Accounts คล้าย Worm มีลักษณะและพฤติกรรมหลอกให้เหยื่อคลิก link เพื่อดูรูปภาพเคลื่อนไหว หรือที่เรียกว่า GIF ไฟล์ ซึ่งหากหลงเชื่อทำการคลิกจะเป็นการติดตั้งมัลแวร์ลงเครื่อง

เมื่อเครื่องติดมัลแวร์แล้ว ก็จะทำการส่งค่า cookie หรือที่เรียกว่า authtoken กลับไปที่ server ของแฮกเกอร์ เมื่อแฮกเกอร์ซึ่งเมื่อได้รับ authtoken จะสามารถสร้าง skypetoken ขึ้นมาผลก็คือ แฮกเกอร์จะได้ข้อมูล account ของทั้ง team และได้สิทธิเพื่อเข้าถึง resource server (api.spaces.skype.com) ซึ่งจะสามารถยกระดับสิทธิเพื่อเข้าถึงการส่งข้อความ อ่านข้อความ สร้างกลุ่ม สร้างผู้ใช้งานใหม่ตลอดจนเปลี่ยนแปลงสิทธิการใช้งานทั้งหมดของทั้ง Subdomain ผ่าน Microsoft Teams API นอกจากนั้นเครื่องที่ถูก compromise จะถูกใช้แอบอ้างส่ง GIF ต่อไปยังเครื่องอื่น ๆ ผ่านช่องทางแชทบน Platform ของ Microsoft Teams Accounts เพื่อแพร่กระจายมัลแวร์ใน Subdomain อื่นอีกด้วย

ถึงแม้ว่า Information ใน team account จะไม่มีรายละเอียดมากนัก แต่แฮกเกอร์สามารถใช้สำรวจข้อมูลของ account อื่น ๆ ทั่วทั้งองค์กรได้ (มีลักษณะเหมือน Worm) ซึ่งสุดท้ายแล้วก็จะได้ข้อมูลทั้งองค์กรไป เช่น ข้อมูลทั่วไปอย่างตารางเวลา ข้อมูลการประชุม ไปจนถึงข้อมูลที่เป็นความลับและมีความสำคัญ เช่น ข้อมูลคู่แข่ง ข้อมูลทางธุรกิจ แผนงาน รหัสผ่าน เป็นต้น และความน่ากลัวของการโจมตีชนิดนี้คือ เหยื่อจะไม่สามารถรู้ได้เลยว่าตอนนี้เครื่องของตนกำลังถูก compromise อยู่ ซึ่งล่าสุด Microsoft ได้ออก patch เพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ในแพทซ์เดือนเมษายน 2020

อย่างไรก็ตามในช่วงการหลีกเลี่ยงการระบาด COVID-19 ทำให้ความต้องการใช้งาน Video conference สูงขึ้นมาก เพราะองค์กรส่วนใหญ่จำเป็นต้อง Work from home จึงไม่ใช่แค่เพียง Microsoft Teams Accounts เท่านั้นที่ถูกใช้เป็นเครื่องมือการแพร่กระจายมัลแวร์ แอปพลิเคชั่น Zoom meeting , Cisco และ WebEx ก็มีรายงานการถูกก่อกวน ขโมยข้อมูล และถูกใช้แพร่กระจายมัลแวร์ด้วยเช่นกัน ตามที่ได้ผู้อ่านได้เคยเห็นรายงานไปบ้างแล้ว ดังนั้น สิ่งที่ต้องระมัดระวังคือการคลิก link ใด ๆ ก็ตาม ไม่ว่าจะใช้งานผ่าน Platform ใด ควรตรวจสอบให้แน่ใจก่อนคลิก

ที่มา : https://thehackernews.com/2020/04/microsoft-teams-vulnerability.html

ภาพจาก : https://www.pexels.com/th-th/photo/4031817/

Share

ปรึกษาเรา

บทความที่เกี่ยวข้อง