포스팅 내용

국내외 보안동향

마이크로소프트 팀즈, 이미지를 통해 계정 탈취 가능한 취약점 수정

Microsoft Teams patched against image-based account takeover


보안 연구원들이 마이크로소프트 팀즈(Microsoft Teams)를 통해 사용자에게 일반 GIF 이미지를 보내 계정을 탈취할 수 있는 취약점을 발견했습니다.


이 취약점을 악용할 경우 팀즈 데스크톱 및 웹 버전에서 한 번에 여러 계정에 접근하고 대화와 스레드를 탈취할 수 있었습니다.


공격의 주요 조건은 teams.microsoft[.]com 아래 하위 도메인을 제어하는 것이며, 연구원들은 두 가지 선택권이 있었습니다. 


마이크로소프트는 해당 취약점에 대한 제보를 받아 공격을 방지하기 위해 완화 조치를 취했습니다.



쿠키 인증


CyberArk의 보안 연구원들은 블로그를 통해 마이크로소프트 팀즈에서 이미지를 로드하는 방식과 이러한 타입 메시지를 전달하는 인증 동작 방식에 대해 설명했습니다.


수신자가 이미지를 받을 수 있도록 하기 위해 “authtoken”과 “skypetoken” 2가지 토큰을 통해 인증이 완료됩니다.


authtoken은 팀즈를 사용하여 도메인 내 이미지를 로드하도록 사용자를 인증하고, skypetoken은 스카이프를 사용합니다. 


이는 클라이언트의 작업 요청을 처리하는 서버에 인증하는데 사용됩니다.

 



<이미지 출처: https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/>



이 쿠키를 모두 가지고 있는 공격자는 팀즈 API를 통해 전화 걸기, 메시지 보내기/읽기, 그룹 생성, 사용자 추가/제거, 권한 변경 등이 가능해져 계정을 완전히 제어할 수 있습니다.


여기의 장애물 하나는 “authtoken”이 “teams.microsoft[.]com”의 서브 도메인에서만 사용이 가능하다는 것입니다. 


이에 CyberArk 연구원들의 심층 조사 결과 아래 도메인에서 서브 도메인 탈취 공격이 가능한 것을 발견했습니다.



aadsync-test.teams.microsoft[.]com

data-dev.teams.microsoft[.]com



공격자가 사용자를 탈취한 서브 도메인에 강제로 이동시키는 것이 가능할 경우, 피해자의 브라우저는 이 쿠키를 공격자의 서버로 보내고 공격자는 autotoken을 받은 후 skypetoken을 생성 가능합니다. 


이 작업이 끝난 후 공격자는 피해자의 팀즈 계정 데이터를 훔칠 수 있습니다.


“authtoken” 쿠키에 보안 플래그가 포함되어 있으므로 공격자는 해킹된 서브도메인의 디지털 인증서를 받아야 합니다. 하지만 이 문제는 어렵지 않게 해결 가능합니다.



보이지 않는 공격


모든 것이 준비되면, 이제 “autotoken”을 얻기 위해 피해자에게 미끼를 보내는 일만 남았습니다.


피해자에게 이미지를 보내면, 그들의 웹 브라우저는 리소스를 로드 후 해킹된 서브도메인으로 쿠키를 전달하려 시도합니다. 


이로써 공격자는 계정 전체 접근 권한을 얻을 수 있는 skypetoken을 생성 가능합니다.


이 모든 일이 은밀히 일어나기 때문에, 피해자는 마이크로소프트 팀즈 계정을 제어하는 공격자에 대한 아무런 단서가 없습니다.

 


<이미지 출처: https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/>



CyberArk 연구원들은 이 공격이 동일한 조직 내 해킹된 한 계정에서 다른 계정으로 웜과 유사한 방식으로 자동으로 확산될 수 있다고 밝혔습니다.


공격자가 피해자의 대화 내용을 알아내는 것은 어렵지 않습니다. 대화 내용 및 스레드의 내용을 긁어 오는 스크립트를 사용하면 됩니다. 


연구원들은 시연을 위해 메시지를 훔치는 코드를 만들었습니다.



<이미지 출처: https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/>



마이크로소프트는 취약점 공개 프로그램을 통해 이 취약점에 대한 경고를 받은 후 조치를 취했습니다. 


그중 한 단계는 두 서브 도메인을 제어하도록 허용하는 잘못 구성된 DNS 기록을 제거하는 것이었습니다. 


앞으로도 유사한 취약점이 발생하지 않도록 다른 방법들 또한 지속적으로 도입될 예정입니다.


CyberArk는 영상을 통해 이 취약점을 악용하여 마이크로소프트 팀즈 계정을 탈취하는 방법을 공개했습니다. 





출처:

https://www.bleepingcomputer.com/news/security/microsoft-teams-patched-against-image-based-account-takeover/

https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/

티스토리 방명록 작성
name password homepage