Snelle fix voor .gif-gat in Microsoft Teams

De kwetsbaarheid in Teams is ontdekt door IT-beveiligingsbedrijf CyberArk, die het gemeld heeft bij Microsoft volgens diens beleid voor verantwoorde melding (wat Microsoft 'Coordinated Vulnerability Disclosure' noemt). Het Security Research Center van de Teams-aanbieder heeft vervolgens in samenwerking met de melder de zaak geverifieerd en snel gefixt. Via Teams was mogelijk ook meer te hacken, zoals de Office 365-omgevingen (wat nu Microsoft 365 heet) van organisaties. Een aanvaller zou door het toesturen van een speciaal geprepareerde .gif-afbeelding gebruikers en uiteindelijk hele Teams-groepen van bedrijven kunnen overnemen.

Zien is gehackt worden

Zo'n aanval zou beginnen door eerst een enkele Teams-gebruiker binnen een organisatie te pakken. Daarna zou via dat gehackte account de kwaadaardige afbeelding weer doorgestuurd kunnen worden aan andere gebruikers. Hiervoor was bij gebruikers geen handeling vereist zoals bijvoorbeeld het aanklikken of opslaan van zo'n malafide .gif. Het beperken van Teams-communicatie tot gebruikers in de eigen organisatie kan de kwetsbaarheid verminderen, maar via een agenda-uitnodiging kan een buitenstaander nog altijd een bericht 'binnen krijgen'.

De eigenlijke kwetsbaarheid schuilt in de authenticatie die Microsoft gebruikt voor Teams en het toegangstoken voor afbeeldingen. Onderzoekers van CyberArk hebben zich daarin verdiept en een flinke tekortkoming ontdekt. Twee subdomeinen van Microsoft bleken kwetsbaar voor kaping waarmee authenticatie in Teams viel te ondervangen en dan te vervalsen. Microsoft heeft verkeerde configuratie van DNS-records voor die subdomeinen snel gewist, meldt CyberArk in een blogpost. Daarnaast zijn nog andere beperkende maatregelen (mitigations) doorgevoerd en werkt de softwaremaker aan meer beveiligingsfuncties om te beschermen tegen soortgelijke kwetsbaarheden.