Libero
SICUREZZA INFORMATICA

Microsoft Teams, basta una GIF per perdere l'account

Alcuni ricercatori informatici hanno scoperto una vulnerabilità in Microsoft Teams che permette agli hacker di sottrarre gli account agli utenti. Come difendersi

microosft teams Fonte foto: bangoland / Shutterstock.com

Il boom dello smart working e delle videoconferenze sta facendo venire a galla tutti i problemi delle più diffuse piattaforme per il lavoro da remoto: non è solo Zoom ad essere facilmente attaccabile, persino Microsoft Teams ha seri problemi di sicurezza e il nostro account può essere hackerato con una semplice immagine GIF.

Lo hanno scoperto i ricercatori di CyberArk, secondo i quali con questo diffusissimo tipo di file è possibile “rubare i dati dell’utente e, in ultima analisi, prendere possesso di tutti gli account di un’intera organizzazione“. Il grave bug di sicurezza, secondo CyberArk, è presente sia nella app desktop di Teams che nella sua versione Web, accessibile tramite browser. Si tratta, quindi, di un problema dell’intera piattaforma di Microsoft perché, in pratica, il vero rischio si corre durante la fase di accesso a Teams. E l’accesso si fa sia tramite app che tramite browser. Per fortuna questo tipo di attacco non è molto facile da mettere in atto e Microsoft ha già preso le prime precauzioni.

Perché Microsoft Teams è a rischio hacker

CyberArk ha scoperto che ogni volta che Teams viene aperto, il client crea un nuovo token di accesso temporaneo, autenticato tramite il dominio login.microsoftonline.com. Altri token vengono inoltre generati per accedere a servizi collegati, come SharePoint e Outlook. In teoria questi token servono proprio per proteggere l’account che si sta collegando, ma sono proprio loro l’origine del problema: due cookie vengono utilizzati per limitare le autorizzazioni di accesso: “authtoken” e “skypetoken_asm”.

Quest’ultimo viene inviato al dominio teams.microsoft.com e ai suoi sottodomini, due dei quali sono risultati vulnerabili. “Se un utente malintenzionato può in qualche modo forzare un utente a visitare i sottodomini vulnerabili – spiega CyberArk – il browser della vittima invierà questo cookie al server dell’attaccante e l’utente malintenzionato (dopo aver ricevuto il certificato di autenticazione) può creare un token Skype”. Dopo aver fatto tutto questo, l’attaccante può sottrarre i dati dell’account Teams della vittima.

Come funziona l’attacco per sottrarre l’account di Microsoft Teams

CyberArk precisa che questo tipo di attacco è stato provato più volte e funziona sempre, ma non è così semplice da sferrare. Tutto sta nel far sì che l’utente passi dai sottodomini deboli e, per farlo, l’attaccante potrebbe inviare alla vittima un link (che sarebbe sospetto) o una immagine GIF (che al contrario è un tipo di file scambiato molto di frequente nelle chat). Microsoft è stata messa al corrente di questa vulnerabilità e ha dichiarato che: “Sebbene non abbiamo rilevato alcun uso pratico di questa tecnica, abbiamo preso provvedimenti per proteggere i nostri clienti“.