A Microsoft comentou sobre uma vulnerabilidade no Teams que poderia ser usada em um ataque para controlar contas de usuários usando um arquivo GIF. A vulnerabilidade afetava as versões desktop e web do Microsoft Teams e foi descoberta por pesquisadores da CyberArk.
A equipe descobriu que cada vez que o aplicativo é aberto, o cliente do Teams cria um novo token de acesso temporário, verificado por meio do login.microsoftonline.com. Além disso, os tokens também são gerados para acessar serviços suportados, como SharePoint e Outlook.
Da mesma forma, os tokens são usados para restringir os direitos de acesso ao conteúdo. Eles são enviados para o domínio teams.microsoft.com e seus subdomínios. Os pesquisadores descobriram que dois desses subdomínios eram vulneráveis a um ataque.
Se um invasor conseguir permitir que um usuário visite um subdomínio herdado, o navegador da vítima envia um token para o servidor do invasor. Ele, por sua vez, pode gerar um novo token usando-o para acessar as informações da conta das Equipes da vítima.
É aí que o arquivo GIF entra em cena. Ao enviar um link malicioso ou arquivo GIF para a vítima, o token necessário pode ser gerado para comprometer a sessão do Teams. Como é suficiente para o arquivo GIF exibir a imagem, vários usuários podem ser atacados simultaneamente em uma conversa em grupo.
A CyberArk lançou uma prova de conceito demonstrando como um ataque poderia acontecer. Os pesquisadores também informaram a Microsoft sobre sua descoberta em 23 de março. Imediatamente os registros DNS mal configurados foram modificados e publicou um patch foi lançado na semana passada para reduzir o risco de erros semelhantes no futuro. A Microsoft também alerta que não há indícios que a falha tenha sido explorada de forma maliciosa.