Cách hack đáp án trên Microsoft Teams
1 tháng trướcNếu bạn đang sử dụng Google Forms để đưa ra các câu đố và bài kiểm tra trong lớp học của mình, bạn có thể biết rằng một số sinh viên đã tìm ra nhiều cách khác nhau để cheating để xem đáp án nhằm đạt điểm cao hơn:
- Mở tab để tra cứu câu trả lời
- Xem trước biểu mẫu của bạn trước khi đến lớp để tra cứu câu trả lời
- Gửi câu hỏi cho bạn bè của họ
- Chia sẻ câu trả lời với bạn bè
- Chụp ảnh màn hình các câu hỏi đố vui của bạn
- Xem nguồn trang HTML để tìm câu trả lời
- Nhìn vào màn hình bạn bè để chọn câu trả lời
- Nhấp chuột phải vào các từ để kiểm tra định nghĩa và chính tả
- Chia sẻ câu trả lời với bạn cùng lớp trong thời gian trôi qua
- Viết ra những gian lận trên tay hoặc giấy của họ
Thực tế là học sinh đang tìm kiếm các lối tắt để cải thiện điểm số bài kiểm tra của họ không phải là một điều ngạc nhiên.[Bạn có thể từng là học sinh này khi còn đi học !!]
Một lỗ hổng chiếm tên miền phụ – Subdomain takeover Vulnerability
Lỗ hổng bắt nguồn từ cách thức Microsoft Teams xử lý xác thực đến tài nguyên hình ảnh. Mỗi khi ứng dụng được mở, mã thông báo truy cập, JWT [JSON Web Token – mã JSON] sẽ được tạo, cho phép người dùng xem hình ảnh được họ hay những người khác trong một cuộc trò chuyện chia sẻ.
Các nhà nghiên cứu của CyberArk nhận thấy rằng họ có thể tạo một cookie [được gọi là “authtoken”] cấp quyền truy cập vào một máy chủ tài nguyên [api.spaces.skype.com] và sử dụng nó để tạo ra “skype token” được phép gửi tin nhắn, đọc tin nhắn, tạo nhóm, thêm người dùng mới hoặc xóa người dùng khỏi nhóm, thay đổi quyền trong nhóm thông qua API nhóm.
Authtoken cookie còn có thể được đặt để gửi cho teams.microsoft.team hoặc bất kỳ tên miền phụ nào của nó, các nhà nghiên cứu cho biết họ đã phát hiện ra hai tên miền phụ dễ bị tấn công chiếm đoạt là aadsync-test.teams.microsoft.com và data-dev.teams.microsoft.com.
Các nhà nghiên cứu tuyên bố “Nếu kẻ tấn công có thể dụ người dùng truy cập vào các tên miền phụ đã bị chiếm thì trình duyệt của nạn nhân sẽ gửi cookie này đến máy chủ của kẻ tấn công và kẻ tấn công [sau khi nhận được authtoken] có thể tạo skype token. Sau khi thực hiện các bước trên, kẻ tấn công có thể đánh cắp dữ liệu tài khoản Teams của nạn nhân”.
Khi có trong tay các tên miền phụ, kẻ tấn công có thể khai thác lỗ hổng chỉ bằng cách gửi một liên kết độc hại, ví dụ như một GIF, cho một nạn nhân ít ngờ đến hoặc cho tất cả các thành viên của nhóm trò chuyện. Khi người nhận mở tin nhắn, trình duyệt sẽ tải hình ảnh sau khi gửi authtoken cookie đến tên miền phụ bị chiếm quyền.
Sau đó, kẻ xấu có thể lợi dụng authtoken cookie này để tạo skype token rồi từ đó truy cập vào tất cả dữ liệu của nạn nhân. Thậm chí, cuộc tấn công có thể gây ảnh hưởng đến bất kỳ người ngoài nào từng có tương tác liên quan đến giao diện trò chuyện, chẳng hạn như từng nhận được lời mời tham gia cuộc gọi hội nghị cho một cuộc phỏng vấn việc làm tiềm năng.
Các nhà nghiên cứu cho biết “Nạn nhân sẽ không bao giờ biết rằng họ đã bị tấn công, nên việc khai thác lỗ hổng rất lén lút và nguy hiểm”.
Xem thông tin tóm tắt phản hồi cho bài kiểm tra của bạn
Trong Microsoft Forms, mở bài kiểm tra mà bạn muốn xem lại kết quả, rồi chọn tab Phản hồi.
Ở phía trên cùng, bạn sẽ thấy thông tin tóm tắt theo thời gian thực về bài kiểm tra của mình, chẳng hạn như số phản hồi và điểm trung bình.Bên cạnh mỗi câu hỏi, bạn sẽ thấy số lượng phản hồi và một biểu đồ hiển thị sự phân phối phản hồi cho tất cả các câu trả lời khả thi.
Lưu ý:Nếu có thông tin chuyên sâu về dữ liệu dựa trên trí thông minh được xác định cho một câu hỏi, bạn sẽ nhìn thấy biểu Insights bên cạnh nó.Tìm hiểu thêm.
Bạn có thể chọn Thêm tùy chọn
Phần 1: Microsoft Team có nhiều tên miền phụ
Các bạn cần biết là để xử lý các tác vụ cùng lúc thì một máy chủ có thể không xử kịp số lượng dữ liệu khổng lồ trên toàn thế giới đổ về do đó Microsoft sẽ chia sẽ luồng dữ liệu từ Team nói riêng và các phần mềm khác của hãng nói chung sang các máy trạm phụ, cụ thể ở đây là các subdomain của Team.
Các subdomain có mức độ bảo mật khác nhau và các chuyên gia tìm ra 02 subdomain có bảo mật thấp và có thể bị chiếm quyền tiếp quản và đó là: aadsync-test.teams.microsoft.com và data-dev.teams.microsoft.com
Phần 2: Cách mà Microsoft Team xử lý hình ảnh
Hình ảnh được chia sẽ bởi người dùng trong một cuộc trò chuyện sẽ tạo ra một JSON Web Token [JWT – Mã thông báo / Mã định dạng JSON Web]. Nôm na dễ hiểu thì JSON Web Token vừa một phương thức truyền tải nhanh, vừa là phương thức mã hoá. Tạm gọi là Team Token
Team Token, có thể bị chèn cookie vào để giả tạo nó thành một dạng Token và qua đó họ hacker có thể truy cập vào máy chủ tài nguyên của nạn nhân tại cổng giao thức api.spaces.skype.com, tạm gọi là Skype Token. Thông qua máy chủ tài nguyên và Skype Token, hacker có thể truy cập vào máy chủ của Team và lấy toàn bộ lịch sử trò chuyện và thông tin của nạn nhân trên Team.
Hack tài khoản Microsoft Teams chỉ bằng một hình ảnh
- Cảnh báo thủ đoạn: Tin tặc giả mạo bài viết của cơ quan truyền thông để đánh cắp tài khoản Facebook
- Kaspersky bổ sung bảo vệ cho SharePoint Online và Microsoft Teams
- Hacker lợi dụng kẽ hở pháp lý tấn công tài khoản
Được phát hiện bởi các nhà nghiên cứu an ninh mạng CyberArk [Mỹ], lỗ hổng này ảnh hưởng đến hai phiên bản desktop và web của ứng dụng. Sau khi được phát hiện và báo cáo ngày 23/3, Microsoft đã khẩn trương phát hành bản vá vào ngày 20/4.
Nhà nghiên cứu Omer Tsarfati của CyberArk nhận định, ngay cả khi không thu thập được nhiều thông tin từ các tài khoản Teams, kẻ tấn công vẫn có thể sử dụng tài khoản để truy cập vào toàn bộ tổ chức. Điều này lý giải cho cơ chế hoạt động lỗ hổng được ví như worm. Cuối cùng, kẻ tấn công có thể truy cập tất cả dữ liệu từ tài khoản Teams của tổ chức, thu thập thông tin bí mật: những cuộc họp và thông tin lịch trình, dữ liệu cạnh tranh, mật khẩu, thông tin cá nhân, kế hoạch kinh doanh…
Sự phát triển của cách thức tấn công này xuất hiện trên các ứng dụng hội họp trực tuyến như Zoom và Microsoft Teams khi có sự gia tăng nhu cầu từ phía người dùng. Đặc biệt trong đại dịch COVID-19, khi học sinh, sinh viên các nhân viên doanh nghiệp và nhà nước trên khắp thế giới phải làm việc trực tuyến tại nhà.
Lỗ hổng chiếm tên miền phụ
Lỗ hổng bắt nguồn từ cách Microsoft Teams xử lý xác thực đến tài nguyên hình ảnh. Mỗi khi ứng dụng được mở, mã thông báo truy cập định dạng JSON [JWT] được tạo, cho phép người dùng xem hình ảnh được chia sẻ trong một cuộc trò chuyện.
Các nhà nghiên cứu của CyberArk nhận thấy rằng họ có thể tạo một cookie được gọi là “authtoken” cấp quyền truy cập vào một máy chủ tài nguyên [api.spaces.skype.com] và sử dụng nó để tạo ra “skype token”, cho phép gửi tin nhắn, đọc tin nhắn, tạo nhóm, thêm người dùng mới hoặc xóa người dùng khỏi nhóm, thay đổi quyền trong nhóm thông qua API nhóm.
Authtoken cookie còn có thể được đặt để gửi cho teams.microsoft.team hoặc bất kỳ tên miền phụ nào của nó. Các nhà nghiên cứu cho biết họ đã phát hiện ra hai tên miền phụ là aadsync-test.teams.microsoft.com và data-dev.teams.microsoft.com dễ bị tấn công và chiếm đoạt.
Khi đã chiếm được các tên miền phụ, kẻ tấn công có thể khai thác lỗ hổng chỉ bằng cách gửi một liên kết độc hại, ví dụ như một tệp tin hình ảnh dạng GIFcho một nạn nhân ít ngờ đến hoặc cho tất cả các thành viên của một cuộc trò chuyện nhóm. Khi người dùng mở tin nhắn, trình duyệt sẽ tải hình ảnh sau khi gửi authtoken cookie đến tên miền phụ bị chiếm quyền.
Sau đó, kẻ xấu có thể lạm dụng authtoken cookie này để tạo skype token rồi truy cập vào tất cả dữ liệu của nạn nhân. Thậm chí, cuộc tấn công có thể gây ảnh hưởng đến bất kỳ người ngoài nào từng có tương tác liên quan đến giao diện trò chuyện, chẳng hạn như từng nhận được lời mời tham gia cuộc gọi hội nghị cho một cuộc phỏng vấn.
Các nhà nghiên cứu cho biết “Nạn nhân sẽ không bao giờ biết rằng họ đã bị tấn công, việc khai thác lỗ hổng được thực hiện trong suốt và rất nguy hiểm”.
Số cuộc tấn công vào hội nghị trực tuyến ngày càng gia tăng
Trong bối cảnh đại dịch COVID-19, việc chuyển sang làm việc từ xa các dịch vụ hội nghị trực tuyến ngày càng tăng. Việc này đã giúp những kẻ tấn công có thêm cách thức mới để đánh cắp thông tin đăng nhập và phân tán phần mềm độc hại.
Nghiên cứu gần đây từ Proofpoint và Abnormal Security đã phát hiện ra các chiến dịch tấn công phi kỹ thuật yêu cầu người dùng tham gia cuộc họp Zoom hoặc khai tháclỗ hổng bảo mật của Cisco WebEx bằng cách nhấp vào các liên kết độc hại đánh cắp thông tin đăng nhập.
Trước những mối đe dọa trên, người dùng cần nâng cao kỹ năng phòng tránh tấn cônglừa đảo và đảm bảo luôn cập nhật phiên bản mới nhất của những ứng dụnghội nghị trực tuyến.
Mai Hương
The Hacker New
- MICROSOFT TEAMS
- LỖ HỔNG
- HỘI HỌP TRỰC TUYẾN
- HÌNH ẢNH