Teknoloji devleri, koronavirüs salgınında evden çalışanlara iyi bir video konferans uygulamaları sunmak için yoğun bir rekabet içinde. Zoom, rekabette hızlı bir şekilde öne çıksa da güvenlik ve gizlilik sorunlarıyla sıkça gündeme geldi. Son olarak Microsoft'un video konferans aracı Teams'te de kritik bir güvenlik açığı ortaya çıktı.
Güvenlik araştırmacıları şubat ayının sonundan mart ortasına kadarki üç haftalık süreç boyunca kötü amaçlı bir GIF'in şirketlerin Microsoft Teams hesaplarının kullanıcı verilerini çalmış olabileceğini öne sürdü. Ayrıca söz konusu güvenlik açığının Microsoft tarafından 20 Nisan'da yayınlanan bir güncellemeyle kapatıldığı belirtildi.
Microsoft Teams, bir GIF nedeniyle tehdit oluşturuyordu
Güvenlik açığı, Microsoft Teams'in masaüstü ve tarayıcı versiyonlarını, kimlik doğrulama sisteminin erişim belirteçleri üzerinden etkiliyordu. Bu belirteçleri, kullanıcının Teams hesabına eriştiğini doğrulayan dosyalar olarak düşünebilirsiniz. Belirteçler, Microsoft tarafından teams.microsoft.com adresinde bulunan sunucuda veya bu adres altındaki herhangi bir alt alan adında işleniyor.
CyberArk, saldırının parçası olarak bu alt alan adlarından ikisinin (aadsync-test.teams.microsoft.com ve data-dev.teams.microsoft.com) ele geçirilmesinin mümkün olduğunu buldu. Araştırmacılar Teams hesabının kimlik doğrulama belirtecini hedef alarak kullanıcı verilerini ele geçiren bir Donald Duck GIF'i kullandılar. GIF'in kaynağı, güvenliği ihlal edilmiş bir alt alan adı olarak değiştirilmişti ve GIF'i görüntüleyenlerin kimlik bilgileri doğrudan hackerlara gidebilirdi.
Microsoft, Teams uygulamasındaki güvenlik açığını kapattı
CyberArk, saldırının kısa sürede çok sayıda kullanıcıyı etkilemiş olabileceğini söylüyor. Ayrıca bu güvenlik açığından etkilenen her hesap, şirketler için de tehdit oluşturuyor. Saldırganların GIF saldırısıyla şirket sırlarını, rekabet verilerini, şifreleri, özel bilgileri, iş planlarını ele geçirmiş olabileceği belirtiliyor.
Neyse ki, siber korsanların güvenlik açığından yararlandığına dair bir kanıt yok. Microsoft, CyberArk'ın uyarısıyla güvenlik açığından etkilenen alt alan adlarının ele geçirilememesi için 23 Mart'ta harekete geçti ve 20 Nisan'da yayınladığı güncellemeyle açığı kapattı.
