更多

    Microsoft Teams 也中招 一張 GIF 偷取企業帳戶資料

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Google 指中國駭客扮 McAfee 防毒軟件

    臨近美國總統選舉,針對競選活動的各類型攻擊就愈來愈頻繁。 Google 6 月時曾公布發現中國和伊朗的駭客組織試圖針對拜登和特朗普的競選人員進行攻擊,但都未有成功。今次 Google 就發現代號 APT 31 的中國駭客組織,試圖扮演防毒軟件 McAfee ,引誘受害者安裝惡意軟件。

    NASA 撥款 Nokia 美國分公司在月球舖設 4G 網絡

    NASA 上周末宣布,將會撥款 1,410 萬美元予荷蘭 Nokia 的美國分公司,支持他們在月球鋪設 4G 網絡。

    AI 重現天團歌聲 A.NA.TA for DREAM 由你作詞

    宣布會在今年底活動休止的天團「嵐」上星期推出了一個歌曲產生器網頁,讓歌迷為他們的出道作「 A.RA.SHI 」創作歌詞,再由 AI 以嵐的歌聲來唱出,效果非常迫真。

    疫情中不少公司都採用居家工作,國際會議也採用視像會議的方式進行。網上會議平台如 Zoom 在這段時間冒起,不過同時也被發現諸多漏洞。不過與此同時其他網上協作平台一樣成為駭客的目標,最新的受害者就是 Microsoft Teams 。有保安機構就發現 Teams 存在一個漏洞,只要一個張 GIF 動畫就能騙取企業的 Teams 帳戶資料。幸而, Microsoft 已於日前修補了這個漏洞。

    據福布施報道,保安企業 CyberArk Labs 發現問題在於 Microsoft 在 Teams 處理查看圖像的認證令牌( authentication token )方式。 Microsoft 是以 teams.microsoft.com 和名下的子網域的伺服器來處理認證令牌的,不過專家就發現有兩個子網域 aadsync-test.teams.microsoft.com 和 data-dev.teams.microsoft.com 被駭客騎劫。

    他們發現駭客如果能誘導目標企業的人員到這些被騎劫的子網域,就可以將用戶的認證令牌傳送到駭客的伺服器,然後就可以用這個令牌來生成另一個 Skype 令牌來偷取受害者的 Teams 帳戶資料。

    保安專家以一張「特製」唐老鴨 GIF 圖來示範盜取用戶的 Teams 帳戶資料。
    保安專家以一張「特製」唐老鴨 GIF 圖來示範盜取用戶的 Teams 帳戶資料。

    由於用傳統釣魚方法來誘騙受害者到被騎劫網站太過明目張膽,保安專家就製作了一張唐老鴨 GIF 動畫作示範,由於這張惡意 GIF 的來源是來自被騎劫的子網域,所以 Teams 是會自動聯絡受害者觀看圖像,受害者只要一看動畫 GIF ,就會把認證令牌傳到駭客手上。

    CyberArk Labs 的專家指兩個子網域是在今年 2 月 27 日被騎劫,直至 3 月 23 日被 Microsoft 奪回子網域。他們指現時未有證據顯示有駭客利用了這個漏洞,不過他們認為這問題可大可小,因為駭客只要散布圖像就能取得企業和個人的敏感資料。

    不過 CyberArk 同時亦讚賞 Microsoft 行動迅速, Microsoft 在 CyberArk 通報發現漏洞當日經已阻止子網域被騎劫,至 4 月 20 日再推出修正,其實用戶毋須任何操作。

    您會感興趣的內容

    相關文章