武器化GIF图像,黑客可控制Microsoft Teams账户
字数 1181 2025-08-15 21:30:41

Microsoft Teams GIF图像武器化漏洞分析报告

漏洞概述

2020年4月,CyberArk公司研究人员发现Microsoft Teams中存在一个严重的子域名接管漏洞,攻击者可通过武器化的GIF图像控制目标Teams账户。该漏洞允许内部攻击者窃取数据并控制组织的所有Teams账户。

漏洞技术细节

核心机制

漏洞利用了两个关键令牌:

  1. JSON Web Token ("authtoken") - 用于身份验证
  2. "skype token" - 用于跨服务通信

微软使用这两个令牌来允许不同服务器和服务(如SharePoint和Outlook)之间的Teams用户查看共享图像。

漏洞利用流程

  1. 令牌验证过程

    • 微软通过*.teams.microsoft.com验证"authtoken"和"skype token" cookie
    • 研究人员发现可以通过分离和篡改这两个令牌进行攻击

  2. 子域名接管

    • 发现两个不安全的微软子域:
      • aadsync-test.teams.microsoft.com
      • data-dev.teams.microsoft.com
    • 这些子域可以被攻击者控制

  3. 攻击执行

    • 攻击者诱使用户访问被控制的子域
    • 受害者浏览器将cookie发送到攻击者服务器
    • 攻击者获取authtoken后可以创建Skype token
    • 获得这两个令牌后即可窃取Teams账户数据

攻击影响

攻击能力

拥有这两个令牌的攻击者可以通过Teams API接口执行以下操作:

  • 发送信息
  • 读取信息
  • 创建小组
  • 添加/移除小组用户
  • 修改小组权限

传播特性

  • 蠕虫式传播:被入侵的账户可以成为传播点,扩散到公司所有其他账户
  • 群组攻击:攻击者可以更少的步骤快速控制多个用户

攻击触发条件

  • 仅需目标用户查看恶意Teams用户发送的一张特殊构造的GIF图像
  • 当受害者打开包含恶意GIF的消息时:
    • 浏览器尝试加载图像
    • 自动将authtoken cookie发送到被入侵的子域

漏洞修复

  • 报告时间:2020年3月23日
  • 修复方式:微软通过更新配置错误的DNS记录消除了威胁
  • 修复速度:微软在报告后快速响应并解决问题

安全建议

  1. 企业防护措施

    • 确保所有Microsoft Teams客户端保持最新版本
    • 监控异常的子域名访问行为
    • 实施严格的cookie安全策略

  2. 用户防护建议

    • 谨慎查看来自未知来源的GIF图像
    • 定期检查账户活动日志
    • 使用多因素认证增强账户安全

  3. 开发者启示

    • 严格管理所有子域名的DNS配置
    • 实施严格的cookie作用域限制
    • 对跨域资源请求实施更严格的安全策略

漏洞重要性评估

该漏洞被评为高危,因为:

  1. 触发简单(仅需查看图像)
  2. 影响范围广(可控制整个组织的Teams账户)
  3. 潜在危害大(可获取机密信息、业务数据等)
  4. 传播性强(具备蠕虫式传播特性)
Microsoft Teams GIF图像武器化漏洞分析报告 漏洞概述 2020年4月,CyberArk公司研究人员发现Microsoft Teams中存在一个严重的子域名接管漏洞,攻击者可通过武器化的GIF图像控制目标Teams账户。该漏洞允许内部攻击者窃取数据并控制组织的所有Teams账户。 漏洞技术细节 核心机制 漏洞利用了两个关键令牌: JSON Web Token ("authtoken") - 用于身份验证 "skype token" - 用于跨服务通信 微软使用这两个令牌来允许不同服务器和服务(如SharePoint和Outlook)之间的Teams用户查看共享图像。 漏洞利用流程 令牌验证过程 : 微软通过 *.teams.microsoft.com 验证"authtoken"和"skype token" cookie 研究人员发现可以通过分离和篡改这两个令牌进行攻击 子域名接管 : 发现两个不安全的微软子域: aadsync-test.teams.microsoft.com data-dev.teams.microsoft.com 这些子域可以被攻击者控制 攻击执行 : 攻击者诱使用户访问被控制的子域 受害者浏览器将cookie发送到攻击者服务器 攻击者获取authtoken后可以创建Skype token 获得这两个令牌后即可窃取Teams账户数据 攻击影响 攻击能力 拥有这两个令牌的攻击者可以通过Teams API接口执行以下操作: 发送信息 读取信息 创建小组 添加/移除小组用户 修改小组权限 传播特性 蠕虫式传播 :被入侵的账户可以成为传播点,扩散到公司所有其他账户 群组攻击 :攻击者可以更少的步骤快速控制多个用户 攻击触发条件 仅需目标用户查看恶意Teams用户发送的一张特殊构造的GIF图像 当受害者打开包含恶意GIF的消息时: 浏览器尝试加载图像 自动将authtoken cookie发送到被入侵的子域 漏洞修复 报告时间 :2020年3月23日 修复方式 :微软通过更新配置错误的DNS记录消除了威胁 修复速度 :微软在报告后快速响应并解决问题 安全建议 企业防护措施 : 确保所有Microsoft Teams客户端保持最新版本 监控异常的子域名访问行为 实施严格的cookie安全策略 用户防护建议 : 谨慎查看来自未知来源的GIF图像 定期检查账户活动日志 使用多因素认证增强账户安全 开发者启示 : 严格管理所有子域名的DNS配置 实施严格的cookie作用域限制 对跨域资源请求实施更严格的安全策略 漏洞重要性评估 该漏洞被评为高危,因为: 触发简单(仅需查看图像) 影响范围广(可控制整个组织的Teams账户) 潜在危害大(可获取机密信息、业务数据等) 传播性强(具备蠕虫式传播特性)