GIF动图只能用做表情包？黑客拿来入侵微软视频会议软件

说到GIF动图，大家可能第一反应是手机微信里那各式各样的表情包了，用表情包斗图是现在人们的一种沟通方式。然而，GIF动图到了黑客手里，就不仅是一种“沟通方式”了。

昨日，微软宣布修复了旗下Teams工作视频聊天工具和协作平台的一个漏洞，该漏洞允许攻击者向用户团队发送一个GIF动图，看似“楚楚可怜”，实则暗藏恶意链接。

CyberArk发现了该漏洞，影响范围波及客户端和网页版的app用户。该团队发现该漏洞后在3月23日报送给微软，微软在4月20日发布的更新中修复了该漏洞。

从CyberArk安全人员Omer Tsarfati可以得知，一旦黑客给目标对象发送GIF恶意图像，那么他们就可以接管用户账号，获取机密信息、会议行程、竞争数据、密码、隐私、商业计划等等。

Microsoft Teams是类似Zoom的一款视频会议软件，在COVID19期间也是见证了用户视频使用需求的崛起，世界范围的企业、学生、政府雇员都必须使用视频会议软件来进行工作和社交。

该漏洞是在Microsoft Teams处理图像资源身份验证方式时出现的。每次打开应用程序时，都会在此过程中创建访问令牌，JSON Web令牌（JWT），从而使用户可以查看个人或其他人在对话中共享的图像。该令牌也成为“skype令牌”，即“ skypetoken_asm”的cookie，这不仅仅限于访问图像，还有其他用途。

Teams使用多个API端点与服务进行通信，并将用户操作发送到相关API端点，此时则需要进行身份验证来匹配操作和用户身份。常用方式是发送访问令牌，而Teams在图像方面出现问题。比如用户身份验证不是基于Cookie，加载图像则比身份验证更为复杂。

为了解决此问题，有一种方法可以使用JavaScript代码作为Blob提取图像内容，然后将IMG标签的src属性设置为创建的Blob。在某些情况下，Teams使用浏览器的常规资源加载，这意味着Teams只是将URI的“ src”属性设置为HTML IMG标签

为了限制访问权限，微软又建立了一个名为“ authtoken”和“ skypetoken_asm”的cookie。

这就是问题所在，研究人员能够获得一个authtoken  cookie，该cookie授予对资源服务器（api.spaces.skype.com）的访问权限，并使用它来创建上述的“ skype令牌”，因此他们具有很大的不受限制的权限，可以发送消息、阅读消息、创建群组、添加新用户或从群组中删除用户，甚至通过Teams API更改群组中的权限。

由于authtoken cookie设置为发送到team.microsoft.team或其任何子域，因此研究人员发现了两个容易受到攻击的子域（aadsync-test.teams.microsoft.com和data-dev.teams.microsoft.com），这两个子域容易发生接管攻击。

研究人员说：“如果攻击者以某种方式迫使用户访问已被接管的子域，则受害者的浏览器会将此Cookie发送到攻击者的服务器，并且攻击者（在收到authtoken之后）可以创建一个Skype令牌。完成所有这些操作后，攻击者可以窃取受害者团队的帐户数据。”