Microsoft Teams、ユーザーアカウントの乗っ取り可能な問題を修正
2020年4月29日 19:43
Microsoft Teamsでサブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントを乗っ取り可能な問題が見つかり、Microsoftが対策したそうだ(CyberArkのブログ記事、HackReadの記事、The Registerの記事、On MSFTの記事)。
サブドメイン乗っ取りの脆弱性はサブドメインのDNSレコードがAzureなどのユーザーがWebページを作成・公開可能なサービスを指しており、そのページが存在しない場合などに発生するものだ。攻撃者はそのサービス上に新たなページを作成してサブドメインを指定すれば乗っ取りが可能となる。
Microsoft Teamsの場合、認証サーバーから発行されるアクセストークン(cookie)は、Microsoft Teamsのドメイン(teams.microsoft.com)およびサブドメイン(*.teams.microsoft.com)にHTTPSでアクセスする際に送信される。そのため、攻撃者は乗っ取ったサブドメインにアクセスさせることで攻撃対象者のアクセストークンを入手し、ユーザーアカウントの乗っ取りが可能な状態だった。
こういった場合の攻撃手法としてはリンクを含むメッセージの送付がよく用いられるが、リンクをクリックさせる手法は成功率が低くなる。ただし、Microsoft Teamsで画像を送信する場合には画像のURLを「src」属性に指定したIMGタグを使用するため、乗っ取ったサブドメイン上の画像を指定すればメッセージを開くだけで画像が表示され、アクセストークンの入手が可能だったという。 発見者のCyberArkは乗っ取り可能なMicrosoft Teamsのサブドメイン2件を確認し、IMGタグを使用する攻撃手法と合わせて3月23日にMicrosoftへ報告。Microsoftでは同日DNSレコードの修正を行い、4月20日には攻撃を緩和するパッチもリリースしたとのこと。なお、CyberArkでは「悪意あるGIF」のような紛らわしい表現を使用しているため、多くの記事が特別に細工したGIFを使用すると記述しているが、GIFファイルの処理に関する脆弱性ではない。細工が必要なのは送信するIMGタグであり、GIF自体への特別な細工は必要ないとみられる。
3月にVullnerabilityがMicrosoftのサブドメイン670件以上における乗っ取り可能な脆弱性の存在を発表した際、公表分13件のサブドメインにMicrosoft Teamsのサブドメインも1件(data.teams.microsoft.com)含まれていた。今回乗っ取り可能な脆弱性が確認されたのは、また別の2件(aadsync-test.teams.microsoft.com および data-dev.teams.microsoft.com)となる。なお、VullnerabilityではMicrosoftがサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象にするまで残り660件以上を報告しないと述べていたが、続報はないようだ。