logo

Ataques Malware em videoconferência | Empresa de TI - Sophos - Microsoft - Google - Dell

publicado em:27/04/20 5:39 PM por: MalwareNotícia

Ataques de Malware em empresa de videoconferência está em ascensão

A mudança para o trabalho remoto em meio à pandemia contínua do COVID-19 e o aumento da demanda por serviços de videoconferência se tornaram uma tática lucrativa para os invasores roubarem credenciais e distribuírem malware.

Pesquisas recentes da Proofpoint e da Anormal Security descobriram campanhas de engenharia social pedindo aos usuários para participar de uma reunião do Zoom ou abordar uma vulnerabilidade de segurança do Cisco WebEx clicando em links maliciosos projetados para roubar credenciais de login.

Importante:

Diante dessas ameaças, é recomendável que os usuários tomem cuidado com os golpes de phishing e garantam que o software de videoconferência seja atualizado.

Ataques Malware com uma imagem  “fofa” permitiu que cibercriminosos invadissem contas de equipes da Microsoft.

A Microsoft corrigiu uma vulnerabilidade do tipo worm em sua plataforma de bate-papo por vídeo e colaboração no local de trabalho do Teams, que poderia permitir que os invasores assumissem o controle de toda a lista de contas do Teams apenas enviando aos participantes um link malicioso para uma imagem de aparência inocente.

A falha, impactando as versões desktop e web do aplicativo, foi descoberta por pesquisadores de segurança cibernética da CyberArk. Depois que as descobertas foram divulgadas com responsabilidade em 23 de março, a Microsoft corrigiu a vulnerabilidade em uma atualização lançada em 20 de abril.

Veja como este Malware funciona

“Mesmo que um invasor não colete muitas informações da conta de uma equipe, ele ainda poderá usá-la para percorrer toda a organização. (como um verme) “, disse Omer Tsarfati , da CyberArk .

“Eventualmente, o invasor pode acessar todos os dados das contas das equipes da organização – reunindo informações confidenciais, informações sobre reuniões e calendários, dados competitivos, segredos, senhas, informações particulares, planos de negócios etc.”

O desenvolvimento ocorre quando softwares de videoconferência, como Zoom e Microsoft Teams, estão testemunhando um aumento sem precedentes na demanda, pois empresas, estudantes e até funcionários do governo em todo o mundo são forçados a trabalhar e socializar em casa durante a pandemia de coronavírus.

Ataques Malware e vulnerabilidade de controle de subdomínio

A falha decorre da maneira como o Microsoft Teams lida com autenticação para recursos de imagem. Sempre que o aplicativo é aberto, um token de acesso, um JSON Web Token (JWT) é criado durante o processo, permitindo que o usuário visualize imagens compartilhadas pelo indivíduo ou por outras pessoas em uma conversa.

 

microsoft-teams-vulnerability

Os pesquisadores da CyberArk descobriram que foram capazes de se apossar de um cookie (chamado “authtoken”) que concede acesso a um servidor de recursos (api.spaces.skype.com) e o usaram para criar o “token do skype” mencionado acima, fornecendo assim permissões ilimitadas para enviar mensagens, ler mensagens, criar grupos, adicionar novos usuários ou remover usuários de grupos, alterar permissões em grupos por meio da API do Teams.

Isso não é tudo…

Como o cookie authtoken está definido para ser enviado para teams.microsoft.team ou qualquer um de seus subdomínios, os pesquisadores descobriram dois subdomínios (aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com) vulneráveis ataques de controle.

 

“Se um invasor puder de alguma forma forçar um usuário a visitar os subdomínios que foram controlados, o navegador da vítima enviará esse cookie ao servidor do invasor, e o atacante (após receber o authtoken) poderá criar um token do skype”, afirmaram os pesquisadores . “Depois de fazer tudo isso, o atacante pode roubar os dados da conta da equipe da vítima”.

web-cookie-stealing

 

Agora armado com os subdomínios comprometidos, um invasor pode explorar a falha apenas enviando um link malicioso, digamos um GIF, para uma vítima inocente ou para todos os membros de um bate-papo em grupo . Assim, quando os destinatários abrem a mensagem, o navegador tenta carregar a imagem, mas não antes de enviar os cookies de autenticação automática para o subdomínio comprometido.

 

 

 

O cibercriminoso pode  usar esse cookie de autenticação automática para criar um token do skype e, portanto, acessar todos os dados da vítima. Pior, o ataque pode ser montado por qualquer pessoa de fora, desde que a interação envolva uma interface de bate-papo, como um convite para uma teleconferência para uma possível entrevista de emprego.

“A vítima nunca saberá que foi atacada, tornando a exploração dessa vulnerabilidade furtiva e perigosa”, disseram os pesquisadores.

Saiba mais sobre malware: Blog Pense com Genco Rio

Fonte: https://thehackernews.com/2020/04/microsoft-teams-vulnerability.html

Imagens: The Hacker News

Traduzido por Genco Rio



A última modificação foi feita em:setembro 20th, 2020 as 12:53 am




Comentários



Adicionar Comentário