Microsoft-Teams behebt Gif-Schwachstelle

Ein Schwachstelle in Microsoft-Teams führte dazu, dass Cyber-Angriffe über manipulierte Gif-Bilder ausgelöst werden konnten.

CyberArk-Forscher entdeckten die Schwachstelle. Diese führte dazu, dass alleine durch das Betrachten eines Gifs, Haker das Benutzerkonto kompromittieren und Daten stehlen konnten.

Microsoft hat jedoch die Schwachstelle inzwischen geschlossen, so die Forscher.

Microsoft-Teams hat aufgrund der Coronavirus-Bestimmungen, im vergangenen Monat, einen enormen Wachstum erlebt.

Bei diesem Angriff wird eine kompromittierte Subdomäne verwendet, um Sicherheits-Token zu stehlen, soblad ein Benutzer ein Gif lädt.

Sie werden nie herausfinden, dass Sie angegriffen wurden - was diese Schwachstelle... sehr gefährlich macht.

CyberArk gab an, Microsoft am 23. März über die Schwachstelle informiert zu haben, und Anfang der Woche wurde ein Patch veröffentlicht.

Es gibt keine Hinweise darauf, dass die Schwachstelle jemals von Cyberkriminellen ausgenutzt wurde.

Prof. Alan Woodward von der Universität Surrey sagte, diese Art von Missbrauch sei schon einmal beobachtet worden, wenn Anwendungen beim Einspielen von Inhalten von Servern - in diesem Fall "scheinbar harmlose Gifs" - nicht die erforderlichen Überprüfungen durchführen.

Zwar sei das Angriffsmuster nicht einfach einzurichten, aber es handele sich um einen praktikablen Angriff, der sich "sehr schnell unter allen Nutzern verbreiten könnte. Es würde sich um einen Nischenangriff handeln, der wahrscheinlich hochwertigen Zielen vorbehalten wäre.", so Woodward.

Es ist eine wirklich gute Demonstration, wie Daten, so harmlos sie auch erscheinen mögen, verwendet werden können, um Code-Schnipsel auf Ihren Rechner zu schmuggeln und Funktionen auszuführen.

Es demonstriert auch sehr schön so genannte Null-Klick-Angriffe - eine bloße Anzeige des Gifs bei diesem Angriff könnte möglicherweise funktionieren, kein Klicken in fragwürdige Links oder das Öffnen von mit Sprengfallen versehenen Dokumenten.

Es ist eine hilfreiche Geschichte darüber, warum Sie Ihre Software immer auf dem neuesten Stand halten sollten.