Microsoftは、最終的にユーザーアカウントの乗っ取りにつながる可能性のある「Microsoft Teams」の脆弱性を修正した。
米国時間4月27日、CyberArkのセキュリティ研究者は、乗っ取り可能なサブドメインと悪質なGIFファイルを組み合わせて利用することで、Teamsユーザーのデータを取得し、最終的には特定の組織のすべてのTeamsアカウントを乗っ取ることができる問題があったことを明らかにした。
ウェブブラウザ版だけでなく、デスクトップ版のTeamsもこの問題の影響を受ける可能性があった。
CyberArkの調査チームは、Microsoft Teamsの調査を行う過程で、クライアントが起動されるたびに、login.microsoftonline.comで認証された一時的なトークンが新たに作成されていることを発見した。その後、「SharePoint」や「Outlook」などのTeamsでサポートされているサービスにアクセスするためのトークンをはじめとする、他のトークンも生成されていた。
Teamsでは、コンテンツへのアクセス許可を制限するために、「authtoken」と「skypetoken_asm」の2つのクッキーをトークンとして使用している。後者のskypetoken_asmは、「teams.microsoft.com」か、そのサブドメインにauthtokenを送信することで作成される。ところが、そのteams.microsoft.comの2つのサブドメインが乗っ取り可能な状態になっていることが明らかになったという。
調査チームは、「何らかの手段を使って、ユーザーを乗っ取られたサブドメインにアクセスさせることができれば、被害者のブラウザから攻撃者のサーバーにこのクッキーが送られ、攻撃者は(authtokenを受け取って)Skypeトークンを作成することができる」と述べている。「これらの作業に成功すれば、攻撃者は被害者のTeamsアカウントの情報を盗むことができる」
この攻撃手順を実行するには乗っ取ったサブドメインの証明書を発行する必要があるが、CyberArkの調査チームは、ドメインの乗っ取りに成功していれば、これはそれほど難しい問題ではないと述べている。
またCyberArkは、乗っ取ったサブドメインにアクセスさせるには、Teamsチャットに、src属性に乗っ取ったサブドメインを指定したGIFファイルを送り、それをクリックさせるだけでよいことも発見した。この手法では、画像を表示させるだけでよいため、同時に複数の被害者に影響を与えることができる。
CyberArkは、攻撃を実行方法を示すための概念実証コードと、Teamsの会話を取得するために使えるスクリプトを公開した。
CyberArkは、3月23日にこの問題をMicrosoftに報告した。Microsoftはその日のうちに、設定が誤っていたサブドメインのDNSレコードを修正した。また、4月20日には、今後Teamsで同様の問題が発生するリスクを緩和するパッチを公開している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。