f:id:micro_keyword:20200428114547p:plain:w400

イスラエル発のセキュリティベンダーCyberArkのブログ記事によると、GIF形式の画像ファイルにかかる脆弱性がMicrosoft Teamsには存在し、アカウント乗っ取りの危険性があることが明らかになりました。

www.cyberark.com

COVID-19の影響でWeb会議用アプリを使い始めた方も多いと思います。企業のセキュリティ担当者の方を中心に本記事をご参考にしていただけると幸いです。

Teams は、Word や Excel などの他の Office アプリの更新プロセスではなく、独自の更新プロセスに従います

Teams Web アプリは毎週更新されます。

Teams デスクトップクライアントの更新プログラムは、TAP (Technology Adoption Program) を使用した厳格な内部テストと検証の後、2 週間ごとにリリースされます。通常は火曜日にリリースされます。緊急更新プログラムが必要な場合、Teams ではこのスケジュールをバイパスし、利用可能になり次第更新プログラムをリリースします。

docs.microsoft.com

このような背景があり、いわゆるPatch Tuesdayに配信されるセキュリティ更新プログラムとは異なると考えられます。

少なくとも影響がある方はMicrosoftのアカウントをお持ちかと思いますので、上記URLを参考に、4/20日以降に更新されていることを、ご確認されるとよいかと思います。

脆弱性の概要

脆弱性の悪用による影響

標的とするユーザにGIFファイルを送り、表示させることでアカウントを乗っ取れる
攻撃者は、一度に複数のアカウントへのアクセスを行い、会話やスレッドの盗聴を行うことが可能になる。

前提条件

teams.microsoft[.]comのサブドメインを攻撃者がコントロールしている

脆弱性の仕組み

受信者は送られた画像を確認するためにauthtokenとskypetokenの2つのトークンを用いて認証を行う
- authtoken
  - 画像の読み込みとskypetokenの生成に使われる
- skypetoken
  - クライアントからのリクエスト（メッセージの読み込みや送信）処理を行うサーバの認証で使われる
もし、攻撃者がこの2つのトークンを持っていた場合Teams API経由でアカウントを乗っ取ることができる。
攻撃者はトークン取得のためにサブドメインを保持し、標的にアクセスさせることでauthtokenの取得を試みる
- ブログ記事中では、GIF送信時のsrc属性に侵害されたサブドメインが指定されていた場合のシナリオを提示しています
この際、攻撃者はサブドメインのデジタル証明書を保持している必要がある
- HTTPS通信経由ならトークンの送信が可能
- オレオレ証明でもよさそう

攻撃のワークフロー例

CyberArkより公開されている図を基に攻撃の流れを確認します。

まず、攻撃者は細工したGIFファイルを標的に送ります
受信者がメッセージを確認します(表示するのみ)
攻撃者が受信者になりすまし、GIFファイルを他の従業員にも送ります
GIFファイルを表示したすべての受信者が攻撃者にauthtokenを送ります
取得したトークンを用いて攻撃者は受信者のメッセージを窃取します

デモ動画

GIFに注意：Microsoft Teamsにおけるアカウント乗っ取りの脆弱性| サイバーアーク

社外からTeamsアクセスの可能性について

これまでの説明では、攻撃者が標的にGIFを送り付けるところから始まるシナリオを中心にお話ししました。

CyberArkのブログを読んで筆者が気になったこととしては、

「そもそも、組織アカウントでないとTeamsの利用が困難なのに社外とメッセージってできるの？」

といった点です。

Microsoftでは、以下のように「外部アクセス」と「ゲストアクセス」の手段で他組織との通信を可能にしていると述べています。

docs.microsoft.com

外部アクセス
- 社外の人(外部ドメイン)とチャットや通話が可能
- ファイル共有やグループチャットへの参加は不可
- 相手からの招待などは不要
- デフォルトで有効
ゲストアクセス
- 社外の人とチャットや通話、ファイル共有やグループチャットが可能
- 組織内の人物からの招待が必要
- ドメインの制約はなくアカウントにサインインしていることのみが条件