說到 GIF 動圖，大家可能第一反應是手機微信里那各式各樣的表情包了，用表情包斗圖是現在人們的一種溝通方式。然而，GIF 動圖到了黑客手里，就不僅是一種“溝通方式”了。

　　昨日，微軟宣布修復了旗下 Teams 工作視頻聊天工具和協作平臺的一個漏洞，該漏洞允許攻擊者向用戶團隊發送一個 GIF 動圖，看似“楚楚可憐”，實則暗藏惡意鏈接。

　　CyberArk 發現了該漏洞，影響范圍波及客戶端和網頁版的 app 用戶。該團隊發現該漏洞后在 3 月 23 日報送給微軟，微軟在 4 月 20 日發布的更新中修復了該漏洞。

　　從 CyberArk 安全人員 Omer Tsarfati 可以得知，一旦黑客給目標對象發送 GIF 惡意圖像，那么他們就可以接管用戶賬號，獲取機密信息、會議行程、競爭數據、密碼、隱私、商業計劃等等。

　　Microsoft Teams 是類似 Zoom 的一款視頻會議軟件，在 COVID19 期間也是見證了用戶視頻使用需求的崛起，世界范圍的企業、學生、政府雇員都必須使用視頻會議軟件來進行工作和社交。

　　子域名接管漏洞

　　該漏洞是在 Microsoft Teams 處理圖像資源身份驗證方式時出現的。每次打開應用程序時，都會在此過程中創建訪問令牌，JSON Web 令牌（JWT），從而使用戶可以查看個人或其他人在對話中共享的圖像。該令牌也成為“skype 令牌”，即“ skypetoken_asm”的 cookie，這不僅僅限于訪問圖像，還有其他用途。

　　Teams 使用多個 API 端點與服務進行通信，并將用戶操作發送到相關 API 端點，此時則需要進行身份驗證來匹配操作和用戶身份。常用方式是發送訪問令牌，而 Teams 在圖像方面出現問題。比如用戶身份驗證不是基于 Cookie，加載圖像則比身份驗證更為復雜。

　　為了解決此問題，有一種方法可以使用 JavaScript 代碼作為 Blob 提取圖像內容，然后將 IMG 標簽的 src 屬性設置為創建的 Blob。在某些情況下，Teams 使用瀏覽器的常規資源加載，這意味著 Teams 只是將 URI 的“ src”屬性設置為 HTML IMG 標簽

<img ng-show =“！giphyCtrl.playVideo” ng-src =“ https://media2.giphy.com/media/gB4KWtd3uSsJq/giphy.GIF” height =“ 240” width =“ 480” load-image-handler src =“ https://media2.giphy.com/media/gB4KWtd3uSsJq/giphy.GIF”>

　　為了限制訪問權限，微軟又建立了一個名為“ authtoken”和“ skypetoken_asm”的 cookie。

　　這就是問題所在，研究人員能夠獲得一個 authtoken cookie，該 cookie 授予對資源服務器（api.spaces.skype.com）的訪問權限，并使用它來創建上述的“ skype 令牌”，因此他們具有很大的不受限制的權限，可以發送消息、閱讀消息、創建群組、添加新用戶或從群組中刪除用戶，甚至通過 Teams API 更改群組中的權限。

　　由于 authtoken cookie 設置為發送到 team.microsoft.team 或其任何子域，因此研究人員發現了兩個容易受到攻擊的子域（aadsync-test.teams.microsoft.com 和 data-dev.teams.microsoft.com），這兩個子域容易發生接管攻擊。

　　研究人員說：“如果攻擊者以某種方式迫使用戶訪問已被接管的子域，則受害者的瀏覽器會將此 Cookie 發送到攻擊者的服務器，并且攻擊者（在收到 authtoken 之后）可以創建一個 Skype 令牌。完成所有這些操作后，攻擊者可以竊取受害者團隊的帳戶數據。”

　　GIF 惡意圖像載入

　　Teams 設置“ authtoken” cookie 的原因是對用戶進行身份驗證，方便在 Teams 和 Skype 的域中加載圖像。現在，攻擊者感染子域，可以利用這個漏洞發送惡意 GIF 圖片給群聊成員或者特定用戶，當用戶查看時，瀏覽器會嘗試加載圖像，并將 authtoken cookie 發送到受感染的子域。

　　然后，攻擊者可以使用此 authtoken cookie 創建一個 Skype 令牌，從而訪問所有受害者的數據。只要交互涉及聊天界面，例如邀請電話會議進行潛在的工作面試，任何人都可以發起攻擊。

受害者永遠不會知道自己受到了攻擊，這使得利用此漏洞變得隱秘而危險。

　　利用該漏洞最可怕之處在于其會自動傳播，類似蠕蟲病毒。

　　視頻會議軟件攻擊呈上升趨勢

　　在 COVID19 這個特殊時期，基于環境的變化，全球用戶對視頻會議軟件需求激增，不管上文所述的 Teams GIF 入侵也好，還是前段時間引發熱議的“Zoom 轟炸”也好，視頻會議軟件也開始是黑客發動攻擊青睞的對象。

　　因此，企業也要更加防范這個領域可能遭受的風險，比如網絡監聽、服務器或流量攻擊、身份冒充、會議內容數據竊取或篡改等。

　　參考鏈接：

　　GIF 圖像如何使攻擊者入侵 Microsoft Teams 帳戶

　　小心 GIF：Microsoft Teams 中的帳戶接管漏洞

　　*本文作者：Sandra1432，轉載請注明來自 FreeBuf.COM

總結

以上是生活随笔為你收集整理的GIF动图只能用做表情包？黑客拿来入侵微软视频会议软件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。