Vulnerabilidade no Teams abria a porta ao roubo de contas

A Microsoft acaba de resolver um problema na sua aplicação Microsoft Teams que, caso não tivesse sido atualizada, poderia ter sido explorada de forma a permitir controlar as contas de utilizador.

Ao capturar uma conta de Teams, os atacantes podiam chegar ao ponto de conseguir explorar a vulnerabilidade recolhendo dados das contas, os quais poderiam depois conter informação confidencial, passwords e planos de negócios, entre outras informações valiosas, revelou esta semana a empresa de cibersegurança ESET, de acordo com informação dos investigadores da CyberArk.

Com milhares de empresas forçadas a alterar as suas rotinas e a porem em prática formas de teletrabalho devido à pandemia do COVID-19, os seus departamentos de TI enfrentam inúmeros desafios na mudança segura para o trabalho remoto.

A comunicação entre os trabalhadores e a empresa é o aspeto mais importante desta mudança, com um grande número de organizações a optarem pela utilização de plataformas como o Zoom, Microsoft Teams ou Slack. Contudo, isto teve como efeito secundário colocar estas plataformas no “radar” dos cibercriminosos.

Um dos potenciais cenários de ataque (antes da correção da vulnerabilidade pela Microsoft) consiste na utilização de um ficheiro [de imagem] GIF malicioso capaz de recolher dados do utilizador e, assim, poder controlar todas as contas Teams da organização. Os subdomínios vulneráveis eram aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com.

Se um atacante conseguisse levar o utilizador a visitar estes subdomínios, os quais estavam sob o controlo dos cibercriminosos, seria possível ao atacante roubar os dados da conta Teams da vítima.

A exploração da vulnerabilidade passava por enviar à vítima um GIF malicioso. Pior, o simples facto de o GIF ser visionado teria sido o suficiente para que o ataque fosse bem-sucedido e pudesse, dessa forma, espalhar-se automaticamente pela rede. Esta vulnerabilidade, entretanto corrigida, esteve presente quer nas versões do Teams para desktops, quer na implementação do Teams através do browser.

De acordo com a ESET, a CyberArk comunicou a sua descoberta à Microsoft no dia 23 de março e, no mesmo dia, a empresa reagiu rapidamente corrigindo a vulnerabilidade ao nível dos servidores DNS. No passado dia 20 de abril foi lançado um “patch” (código de correção) para o Teams. Aparentemente, não chegou a ser registado qualquer ataque capaz de tirar partido desta vulnerabilidade.

Também o Zoom, um dos maiores concorrentes da Microsoft na área da comunicação e colaboração, teve já recentemente a sua quota parte de problemas de segurança. Neste caso, descobriu-se que os dados de acesso de mais de meio milhão de contas Zoom estavam a ser vendidos na “dark web”, muito embora se tenha concluído que tal não se deveu a uma vulnerabilidade da aplicação.
​
Mais informação: https://www.eset.com/pt
Fotos de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Vulnerabilidade-no-Teams/