Взломать учётные записи Microsoft Teams можно было с помощью GIF-файла

В сервисе для совместной работы и видеоконференций Microsoft Teams устранена уязвимость, эксплуатация которой могла использоваться для кражи учётных данных пользователей и другой конфиденциальной информации. Для успешного проведения атаки злоумышленникам требовалось взять под контроль поддомены сервера аутентификации teams.microsoft.com и отправить вредоносный GIF-файл. Об этом сообщили исследователи из компании CyberArk, отметив, что разработчики Microsoft решили данную проблему 20 апреля. Уязвимость затрагивала десктопное приложение Microsoft Teams, а также веб-версию сервиса. Проблема заключалась в особенностях процесса обработки токенов аутентификации для просмотра изображений в Teams. Сервис использует два токена: «authtoken» позволяет загружать изображения в доменах Teams и Skype, а также генерирует второй токен «skypetoken», необходимый для авторизации на сервере обработки запросов пользователей, в том числе на чтение или передачу файлов.