Microsoft Teams: Lücke erlaubt Konto-Diebstahl mittels GIF
Eine Lücke in Microsoft Teams erlaubte es, Konten mit einem GIF zu übernehmen. Glücklicherweise fanden Sicherheitsforscher den Fehler.
Das Wichtigste in Kürze
- Microsoft hat einen kritischen Fehler in seinem Kommunikations-Tool Teams behoben.
- Es war möglich, durch das Senden eines GIFs den Account eines Opfers zu übernehmen.
- Dies ermöglichte unter anderem das Lesen des Chat-Verlaufs sowie die Weiterverteilung.
Immerhin bekommt man vor dem Datenklau noch ein animiertes Bild angezeigt: Sicherheitsforschern ist es gelungen, Konten von Microsoft Teams zu übernehmen, indem sie GIFs verschickt haben. Um Opfer der Masche zu werden reichte es schon, nur das GIF zu erhalten.
Mit der Übernahme konnten die Bilddateien dann an die erbeuteten Kontakte weiter verteilt werden. Wie die Forscher von «CyberArk» schreiben, wäre das wohl schlimmste Szenario gewesen, wenn man den Angriff automatisiert hätte. Dies hätte zu einer Kettenreaktion führen können.
This new research from the CyberArk Labs team finds a #vulnerability in Microsoft Teams that could lead to widespread data theft campaigns. https://t.co/9my3hoHVYJ
— CyberArk (@CyberArk) April 27, 2020
Chat-Verläufe von Microsoft Teams einsehbar
Weiter ist kritisch, dass die Forscher mit der Übernahme nicht nur die Kontaktliste sondern auch andere Daten einsehen konnten. Dazu gehören beispielsweise Chat-Verläufe. Und noch schlimmer: Die Konten hätten dazu verwendet werden können, sich als eine Person auszugeben und so mittels Chatten an spezifische Daten zu gelangen.
Die Forscher haben die Lücke Microsoft gemeldet. Ein Fix behob die Teams-Schwachstelle, noch bevor sie der Allgemeinheit publik wurde.