Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향스텔스 공격을 허용하는 Microsoft Teams의 zero-click 결함 공개
작성일 2020-12-09 조회 156

Microsoft 365 스푸핑

 

Evolution Gaming의 보안 연구원인 Oskars Vegeris는 비즈니스 커뮤니케이션 플랫폼 Microsoft Teams의 취약성에 대한 기술적 세부 사항을 발표했다.


이 결함은 'teams.microsoft.com' 도메인에 영향을 미치는 사이트 간 스크립팅(XSS) 문제로, 공격자가 MS Teams 데스크톱 응용 프로그램에서 원격 코드를 실행하는 데 악용될 수 있다.


공격자는 특수하게 조작된 메시지를 Microsoft Teams 사용자 또는 채널로 전송하여 이 결함을 이용할 수 있다.


원격 코드 실행은 지원되는 모든 플랫폼(Windows, MacOS, Linux)의 데스크톱 애플리케이션에서 이루어졌다. 코드 실행을 통해 공격자가 공격 대상 장치와 회사 내부 네트워크에 완전히 액세스할 수 있게 한다.


임의 코드를 실행하지 않아도 공격자는 XSS 결함을 이용하여 MS Teams 또는 다른 서비스(예: Skype, Outlook, Office365)에 대한 SSO 인증 토큰을 얻을 수 있다. 


이로 인해 공격자가 통신 서비스에서 기밀 대화와 파일에 접근할 수도 있게 된다.


전문가는 이번 공격이 은밀하고, 사용자 상호작용이 필요 없으며, 공격에 대한 타협 지표가 없다고 지적했다.


이 결함은 또한 'wormable'이며, 즉, 다른 회사, 채널, 사용자들에게 상호 작용 없이 자동으로 공격 페이로드(payload)를 다시 게시할 수 있음을 의미한다.


공격이 성공하면 최종 사용자는 기밀성과 무결성을 완전히 상실할 수 있으며 공격자는 MS Teams 외부의 개인 키 및 개인 데이터와 함께 개인 대화, 파일, 내부 네트워크에 중요한 정보에 액세스할 수 있다.


또한 이 결함은 공격자의 사이트로 피해자를 리다이렉션하거나 SSO 자격 증명 입력을 요청하여 피싱 공격에 노출될 수 있다.


영향받는 제품은 다음과 같다.

 

MS Teams (teams.microsoft.com) – Cross-Site Scripting
MS Teams macOS v 1.3.00.23764 (latest as of 2020-08-31)
MS Teams Windows v 1.3.00.21759 (latest as of 2020-08-31)
MS Teams Linux v 1.3.00.16851 (latest as of 2020-08-31)

 

Vegeris는 또한 이 취약성을 이용하는 방법에 대한 데모를 발표했는데, 그는 마이크로소프트가 가능한 가장 낮은 범위 내 등급 중 하나인 "Important, Spoofing" 이슈를 평가하도록 선택한 것에 실망했다.


그는 Microsoft Teams의 문제는 자동 업데이트를 통해 해결되기 때문에 MS는 아마 취약성에 대한 CVE 번호를 발급하지 않을 것이라고 덧붙였다.


마이크로소프트는 10월에 발표된 업데이트로 이 결함을 해결했다.

 

 

출처
https://securityaffairs.co/wordpress/112062/hacking/microsoft-teams-wormable-flaw.html
https://threatpost.com/spearphishing-attack-spoofs-microsoft-office-365/162001/

첨부파일 첨부파일이 없습니다.
태그 Microsoft Teams  zero-click  wormable