Aufgrund der COVID-19 Pandemie sind weiterhin viele Unternehmen gezwungen, die Arbeit ins Home-Office zu verlagern. Um die Kommunikation innerhalb des Unternehmens, aber auch mit Kunden und Geschäftspartnern, trotzdem aufrecht zu erhalten, haben Videokonferenz-Tools wie Teams, Zoom oder Slack explosiv an Bedeutung gewonnen. Bei der Nutzung mit Zoom wurde in den letzten Tagen bereits auf gravierende Sicherheitslücken sowie mangelnden Datenschutz hingewiesen. Jetzt hat Microsoft eine Sicherheitslücke im eigenen Videokonferenz- Tool Teams geschlossen. Die Lücke hätte dazu führen können, das Hacker Teams-Konten übernehmen.

GIF als Einfallstor für Angreifer

Wie andere zeitgemäße Messenger-Dienste auch, bietet Teams den Nutzern die Möglichkeit Unterhaltungen in der Chat-Funktion mit animierten GIF´s aufzupeppen. Dies hat nun zu einem Problem geführt. Ein schädliches GIF reichte aus, um an die Daten zu gelangen und sie abzuleiten.

Über ein manipuliertes GIF oder einen Link, der durch die Nutzer von Teams angeschaut oder geöffnet wird, bekommt der Angreifer Zugriff auf die Daten des Opfers. Zusätzlich hat er die Möglichkeit auch selbst Nachrichten zu verschicken oder Gruppen zu erstellen. Die Sicherheitslücke existierte sowohl für die Desktop- als auch für die Webbrowser-Version.

Analysten der Sicherheitsfirma CyberArk entdeckten ungeschützte Subdomains, aadsync-test.teams.microsoft.com oder auch data-dev.teams.microsoft.com, die sie sich aneignen konnten und auf die sie damit vollen Zugriff erhielten. Indem sie den Traffic dieser Domains auf eigene Server umleiteten, erlangten sie, jedes Mal wenn ein Nutzer sich das infizierte GIF anschaute, per Session-Token eine Stunde lang Zugang auf dessen Teams-Konto. Laut CyberArk wäre es mit Hilfe eines gekaperten Kontos möglich gewesen, diverse sensible Daten, wie Passwörter oder vertrauliche Daten, aus dem Unternehmensnetzwerk zu ziehen.

Hervorragend geeignet für CEO Fraud

Durch diese Schwachstelle kann sich ein Angreifer in der Theorie durch das ganze Unternehmen arbeiten, um massenweise sensible Firmeninformationen wie Geschäftsgeheimnisse und Passwörter zu sammeln. Dadurch eignet sich der Angriff auch sehr gut für CEO Fraud. Man arbeitet sich solange durch das Unternehmen und kapert diverse Konten, bis man die Kontrolle über ein Teams-Konto eines hochrangigen Mitarbeiters bekommt. Nun kann man anordnen Gelder zu überweisen oder Finanzdaten weitergeben. Gerade in der aktuellen Zeit, in der immer mehr Firmen auf Microsoft Teams oder andere Programme umsteigen, haben solche Angriffe besonders hohe Erfolgschancen.

Microsoft hat die Lücke mittlerweile geschlossen, indem man die entsprechenden Subdomains abgesichert hat. Zudem haben sie berichtet, dass es keine Hinweise auf Angriffe dieser Art gibt. Laut Cyber-Ark wäre es aber theoretisch weiterhin möglich, eine unsichere Subdomain zu finden, über die ein Angriff ausgeführt werden kann.

Unsere IT-Security-Lösung „Adaptive Defense 360“ bietet gleichermaßen Schutz vor Malware sowie Zero-Day-Angriffen und neuartigen Bedrohungen, die unbekannte Schwachstellen ausnutzen. Möglich macht dies unter anderem die Überwachung und Klassifizierung aller Prozesse auf allen Enpoints. Durch das Echtzeit-Monitoring basierend auf selbstlernenden Systemen in Big-Data-Umgebungen, werden bekannte wie unbekannte Bedrohungen identifiziert und neutralisiert. Der Eindringling wird auf frischer Tat ertappt und gestoppt.