Door de COVID-19 pandemie zijn veel bedrijven nog steeds genoodzaakt hun werk te verplaatsen naar het thuiskantoor. Om de communicatie binnen het bedrijf, maar ook met klanten en zakenpartners in stand te houden, hebben videoconferentie-instrumenten zoals Teams, Zoom of Slack explosief aan belang gewonnen. Bij het gebruik van Zoom zijn de afgelopen dagen al ernstige beveiligingslekken en een gebrek aan gegevensbescherming gesignaleerd. Nu heeft Microsoft een beveiligingslek in zijn eigen videoconferentietool Teams gedicht. Het lek had kunnen leiden tot het overnemen van de teamaccounts door hackers.

GIF als toegangspoort voor aanvallers

Net als andere hedendaagse messenger diensten, biedt Teams gebruikers de mogelijkheid om gesprekken in de chatfunctie interessanter te maken met geanimeerde GIF’s. Dit heeft nu tot een probleem geleid. Een kwaadaardige GIF was genoeg om toegang te verschaffen tot gegevens.

Via een gemanipuleerde GIF of een link die door teamgebruikers wordt bekeken of geopend, krijgt de aanvaller toegang tot de gegevens van het slachtoffer. Daarnaast heeft hij ook de mogelijkheid om zelf berichten te versturen of groepen te creëren. De kwetsbaarheid bestond zowel voor de desktop- als voor de webbrowser-versie.

Analisten van het beveiligingsbedrijf CyberArk ontdekten onbeschermde subdomeinen, aadsync-test.teams.microsoft.com en ook data-dev.teams.microsoft.com, die ze zich konden toe-eigenen en waartoe ze zo volledig toegang kregen. Door het verkeer van deze domeinen om te leiden naar hun eigen servers, kregen ze een uur lang toegang tot het teamaccount van de gebruiker via een sessietoken, telkens wanneer een gebruiker naar de geïnfecteerde GIF keek. Volgens CyberArk had een gekaapt account gebruikt kunnen worden om verschillende gevoelige gegevens, zoals wachtwoorden of vertrouwelijke informatie, uit het bedrijfsnetwerk te halen.

Ideaal geschikt voor CEO Fraude

Deze kwetsbaarheid stelt een aanvaller in staat zich theoretisch een weg door het hele bedrijf te banen om zo massa’s gevoelige bedrijfsinformatie, zoals handelsgeheimen en wachtwoorden, te verzamelen. Dit maakt de aanval ook zeer geschikt voor de zogenoemde CEO Fraude. Hierbij werkt een hacker zich een weg door het bedrijf en kaapt verschillende accounts totdat hij de controle krijgt over een Teams account van een hooggeplaatste medewerker. Nu kan hij opdracht geven om geld over te maken of financiële gegevens door te geven. Vooral in de huidige tijd, waarin steeds meer bedrijven overstappen op Microsoft-teams of andere programma’s, hebben dergelijke aanvallen een bijzonder grote kans van slagen.

Microsoft heeft nu het gat gedicht door de bijbehorende subdomeinen te beveiligen. Ze hebben ook gemeld dat er geen aanwijzingen zijn voor dit soort aanvallen. Volgens Cyber-Ark zou het echter nog steeds theoretisch mogelijk zijn om een onveilig subdomein te vinden waarlangs een aanval kan worden uitgevoerd.

Onze Adaptive Defense 360 IT-beveiligingsoplossing biedt bescherming tegen malware, zero-day-aanvallen en opkomende bedreigingen die gebruik maken van nog onbekende kwetsbaarheden. Dit wordt onder andere mogelijk gemaakt door het monitoren en classificeren van alle processen op alle endponts. Real-time monitoring op basis van zelflerende systemen in big-data-omgevingen identificeert en neutraliseert bekende en onbekende bedreigingen. De indringer wordt op heterdaad betrapt en tegengehouden.