Microsoft Teams 也中招　一张 GIF 偷取企业账户资料

疫情中不少公司都采用居家工作，国际会议也采用视像会议的方式进行。网上会议平台如 Zoom 在这段时间冒起，不过同时也被发现诸多漏洞。不过与此同时其他网上协作平台一样成为骇客的目标，最新的受害者就是 Microsoft Teams 。有保安机构就发现 Teams 存在一个漏洞，只要一个张 GIF 动画就能骗取企业的 Teams 账户资料。幸而， Microsoft 已于日前修补了这个漏洞。

据福布施报道，保安企业 CyberArk Labs 发现问题在于 Microsoft 在 Teams 处理查看图像的认证令牌（ authentication token ）方式。 Microsoft 是以 teams.microsoft.com 和名下的子网域的服务器来处理认证令牌的，不过专家就发现有两个子网域 aadsync-test.teams.microsoft.com 和 data-dev.teams.microsoft.com 被骇客骑劫。

他们发现骇客如果能诱导目标企业的人员到这些被骑劫的子网域，就可以将用户的认证令牌传送到骇客的服务器，然后就可以用这个令牌来生成另一个 Skype 令牌来偷取受害者的 Teams 账户资料。

保安专家以一张"特制"唐老鸭 GIF 图来示范盗取用户的 Teams 账户资料。

由于用传统钓鱼方法来诱骗受害者到被骑劫网站太过明目张胆，保安专家就制作了一张唐老鸭 GIF 动画作示范，由于这张恶意 GIF 的来源是来自被骑劫的子网域，所以 Teams 是会自动联络受害者观看图像，受害者只要一看动画 GIF ，就会把认证令牌传到骇客手上。

CyberArk Labs 的专家指两个子网域是在今年 2 月 27 日被骑劫，直至 3 月 23 日被 Microsoft 夺回子网域。他们指现时未有证据显示有骇客利用了这个漏洞，不过他们认为这问题可大可小，因为骇客只要散布图像就能取得企业和个人的敏感资料。

不过 CyberArk 同时亦赞赏 Microsoft 行动迅速， Microsoft 在 CyberArk 通报发现漏洞当日经已阻止子网域被骑劫，至 4 月 20 日再推出修正，其实用户毋须任何操作。

相关文章

阅览更多电脑

Facebook 铁定无得 Dislike

德国电竞品牌 ROCCAT　新游戏键盘、鼠标黑白色齐上

【有片有真相】Netflix 出预告片　方便拣睇边套剧

全面加速、预测异常、硬盘随时挂卸　Synology DSM 7.0 料明年出 Beta 版

Intel CPU 漏洞更新或致当机　微软出新版修正档帮收烂摊子

Intel 大减"Intel Inside"补贴　电脑产品将面临加价？