Microsoft Teams Had a Vulnerability That Allowed Your Account to Be Hijacked With a GIF: Report

Microsoft Teams Had a Vulnerability That Allowed Your Account to Be Hijacked With a GIF: Report

Microsoft टीम लोकप्रिय वीडियो कॉन्फ्रेंसिंग सेवाओं में से एक है और कोरोनवायरस वायरस के कारण उपयोगकर्ताओं में वृद्धि देखी गई है। लेकिन, उपयोगकर्ता आधार में वृद्धि के साथ, एक बढ़ा हुआ सुरक्षा जोखिम आता है। सूचना सुरक्षा कंपनी साइबरआर्क द्वारा Microsoft टीमों के एक नए विश्लेषण में पाया गया कि उपयोगकर्ता खाते केवल दुर्भावनापूर्ण GIF साझा करके अधिग्रहण करने के लिए असुरक्षित थे। यह भेद्यता माइक्रोसॉफ्ट टीम्स द्वारा विभिन्न बिंदुओं पर बनाए गए अस्थायी एक्सेस टोकन से संबंधित है और यह टीम्स डेस्कटॉप या वेब ब्राउजर दोनों संस्करणों को प्रभावित कर सकती है। हालाँकि, Microsoft ने कहा कि उसने इस मुद्दे को संबोधित किया है और अपने ग्राहकों को सुरक्षित रखने के लिए कदम उठाए हैं।

अस्थायी पहुँच टोकन के लिए पृष्ठभूमि

जब यह कैसे विश्लेषण किया गया था, तो CyberArk द्वारा भेद्यता को देखा गया था Microsoft टीम काम करता है। शोध के दौरान यह पाया गया कि हर बार टीमें खोला जाता है, क्लाइंट एक नया अस्थायी टोकन या एक्सेस टोकन बनाता है। शुरुआती एक्सेस टोकन की तरह ही, अन्य टोकन हैं जो SharePoint, Outlook और अन्य सेवाओं के लिए कहने के लिए बनाए गए हैं। इन टोकन का उपयोग तब उपयोगकर्ता को उनके साथ या उनके द्वारा साझा की गई छवियों या GIF को देखने की अनुमति देने के लिए किया जाता है। चूंकि ये चित्र Microsoft के सर्वर पर संग्रहीत हैं, इसलिए “स्काइप टोकन” नामक एक टोकन बनाया गया है और इसे “skypetoken_asm” नामक कुकी के रूप में भी देखा जा सकता है।

भेद्यता

शोधकर्ताओं ने कहा कि टीम्स यह सुनिश्चित करती है कि उपयोगकर्ता “ऑर्टिटोकेन” और “स्केपेटोकेन_स्म” नामक दो कुकीज़ स्थापित करके सामग्री देख पाएंगे। इस प्रकार, यदि किसी को ओर्टोकोकन की सुविधा मिलती है, तो वे स्काइप टोकन बना सकते हैं। कहा कि उप-डोमेन के दो के तहत माइक्रोसॉफ्ट टीम्स नाम, 'aadsync-test.teams.microsoft.com' और 'data-dev.teams.microsoft.com', एक सबडोमेन टेकओवर के लिए असुरक्षित थे, साइबरअर्क ने कहा कि अगर कोई उपयोक्ता उप-यात्रा करने के लिए किसी उपयोगकर्ता को बाध्य कर सकता है। डोमेन ”, पीड़ित का ब्राउज़र हमलावर के सर्वर पर एक कुकी भेजेगा, जो हमलावर को स्काइप टोकन बनाने की अनुमति देगा। इसके बाद हमलावर को पीड़ित की टीम के खाते के डेटा तक पहुंच प्रदान करेगा।

Microsoft टीमों में इस भेद्यता का लाभ उठाते हुए, साइबरआर्क ने कहा कि हमलावर दुर्भावनापूर्ण GIF का उपयोग “उपयोगकर्ता के डेटा को परिमार्जन करने और अंततः एक संगठन के पूरे रोस्टर खातों को संभालने के लिए कर सकते हैं।” यह नोट किया गया था कि इस तरह की कमजोरियाँ अपने आप फैलने की क्षमता रखती हैं और हर उपयोगकर्ता को प्रभावित करती हैं जो टीम डेस्कटॉप या वेब ब्राउज़र संस्करण का उपयोग करते हैं।

Microsoft की प्रतिक्रिया

विश्लेषण ने यह भी बताया कि Microsoft सुरक्षा अनुसंधान केंद्र के साथ काम करने के बाद, मुद्दा तय हो गया था। ZDNet के अनुसार, Microsoft कहा हुआ, “हमने इस ब्लॉग में चर्चा किए गए मुद्दे को संबोधित किया और समन्वित भेद्यता प्रकटीकरण के तहत शोधकर्ता के साथ काम किया। जबकि हमने जंगली में इस तकनीक का कोई उपयोग नहीं देखा है, हमने अपने ग्राहकों को सुरक्षित रखने के लिए कदम उठाए हैं। '


2020 में, क्या व्हाट्सएप को किलर सुविधा मिलेगी जिसका हर भारतीय को इंतजार है? भारत में सैमसंग गैलेक्सी S20? हमने इस पर चर्चा की कक्षा का, हमारे साप्ताहिक प्रौद्योगिकी पॉडकास्ट, जिसे आप के माध्यम से सदस्यता ले सकते हैं Apple पॉडकास्ट या आरएसएस, एपिसोड डाउनलोड करें, या बस नीचे दिए गए प्ले बटन को हिट करें।

Source link

Leave a Reply

Your email address will not be published. Required fields are marked *