更多

    Microsoft Teams 也中招 一張 GIF 偷取企業帳戶資料

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    慶祝黑人歷史月  Apple 推出 Apple Watch Black Unity 系列產品

    每年 2 月都是美國的黑人歷史月,而今年 Apple 就宣布會在整個二月推出與黑人歷史月相關的內容和產品,包括新的 Apple Watch Black Unity 系列手錶和錶帶。而今日推出的 watchOS 7.3 裡,亦會加入特別設計的 Unity 錶面和團結活動挑戰。

    iOS/iPadOS 14.4 推出 驗測非官方相機、藍牙耳機做分類

    Apple 今日一口氣將上星期進入 RC 階段的 OS 一併發佈給用戶,包括 iOS 14.4 和 iPadOS 14.4 、 tvOS 14.4 和 watchOS 7.3 。當中 iOS/iPadOS 14.4 包括以下改進和修正,不過就沒有提及早前開始在限定用家上進行測試的 HomePod mini 接力播放的功能。

    watchOS 7.3 今日推出 「步行樂」鼓勵步行

    Apple 宣布將會在今日推出 watchOS 7.3 更新,除了昨日宣布為 Apple Fitness+ 訂戶提供的音韻步行活動「步行樂」之外,還會推出慶祝黑人歷史月的「團結」錶面。撰稿時 iOS/iPadOS 14.4 亦經已推出。

    疫情中不少公司都採用居家工作,國際會議也採用視像會議的方式進行。網上會議平台如 Zoom 在這段時間冒起,不過同時也被發現諸多漏洞。不過與此同時其他網上協作平台一樣成為駭客的目標,最新的受害者就是 Microsoft Teams 。有保安機構就發現 Teams 存在一個漏洞,只要一個張 GIF 動畫就能騙取企業的 Teams 帳戶資料。幸而, Microsoft 已於日前修補了這個漏洞。

    據福布施報道,保安企業 CyberArk Labs 發現問題在於 Microsoft 在 Teams 處理查看圖像的認證令牌( authentication token )方式。 Microsoft 是以 teams.microsoft.com 和名下的子網域的伺服器來處理認證令牌的,不過專家就發現有兩個子網域 aadsync-test.teams.microsoft.com 和 data-dev.teams.microsoft.com 被駭客騎劫。

    他們發現駭客如果能誘導目標企業的人員到這些被騎劫的子網域,就可以將用戶的認證令牌傳送到駭客的伺服器,然後就可以用這個令牌來生成另一個 Skype 令牌來偷取受害者的 Teams 帳戶資料。

    保安專家以一張「特製」唐老鴨 GIF 圖來示範盜取用戶的 Teams 帳戶資料。
    保安專家以一張「特製」唐老鴨 GIF 圖來示範盜取用戶的 Teams 帳戶資料。

    由於用傳統釣魚方法來誘騙受害者到被騎劫網站太過明目張膽,保安專家就製作了一張唐老鴨 GIF 動畫作示範,由於這張惡意 GIF 的來源是來自被騎劫的子網域,所以 Teams 是會自動聯絡受害者觀看圖像,受害者只要一看動畫 GIF ,就會把認證令牌傳到駭客手上。

    CyberArk Labs 的專家指兩個子網域是在今年 2 月 27 日被騎劫,直至 3 月 23 日被 Microsoft 奪回子網域。他們指現時未有證據顯示有駭客利用了這個漏洞,不過他們認為這問題可大可小,因為駭客只要散布圖像就能取得企業和個人的敏感資料。

    不過 CyberArk 同時亦讚賞 Microsoft 行動迅速, Microsoft 在 CyberArk 通報發現漏洞當日經已阻止子網域被騎劫,至 4 月 20 日再推出修正,其實用戶毋須任何操作。

    您會感興趣的內容

    相關文章