Non c’è pace per i software di comunicazione e collaboration in tempi di Covid-19
Nella giornata di lunedì 27 aprile, un gruppo di ricercatori della compagnia di sicurezza informatica CyberArk ha pubblicato sul proprio blog di aver identificato una grave vulnerabilità che affligge il software di videoconferenze Microsoft Teams.
È sufficiente visualizzare un’immagine GIF inviata da un malintenzionato in chat perché l’aggressore possa avere accesso a tutti i messaggi Teams inviati e ricevuti dalla vittima, tutti i suoi eventi del calendario, accedere ai meeting della vittima oppure inviare messaggi a suo nome.
Fatto ancora più grave è che, potendo impersonare le vittime di tale attacco ed inviare messaggi ai loro contatti aziendali, un ipotetico malware automatico potrebbe diffondersi rapidamente all’interno di un’azienda, raggiungendo in breve tempo personaggi chiave della stessa quali l’amministratore delegato o i dirigenti aziendali.
La vulnerabilità riguarderebbe sia l’applicazione desktop di Teams, sia la versione web della stessa.
Nel dettaglio, la vulnerabilità è dovuta ad un’insicura configurazione da parte di Microsoft dei propri record DNS e ad errori di design nella gestione delle immagini animate GIF. Infatti, i ricercatori di CyberArk hanno identificato almeno due domini Microsoft vulnerabili che potrebbero essere acquisiti da un malintenzionato esterno a Microsoft. Inoltre, l’applicazione è risultata gestire in maniera insicura le immagini GIF, tale per cui è possibile forzare il client della vittima ad inviare informazioni segrete (in particolare, i token di sessione Teams) ad uno di tali server controllabili da un aggressore, informazioni che sarebbero sufficienti per impersonare l’utente obiettivo dell’attacco.
CyberArk ha riportato la problematica a Microsoft il 23 marzo. Nello stesso giorno, Microsoft ha provveduto a correggere il problema sui sistemi DNS. Infine, la scorsa settimana, Microsoft ha rilasciato una patch all’applicazione di Teams, che si raccomanda di installare al più presto in modo da impedire ogni possibile sfruttamento della vulnerabilità.
La vulnerabilità soprariportata non è altro che l’ultima di una lunga serie di problematiche che hanno interessato i sistemi di videoconferenze dall’inizio dell’anno a oggi, da Cisco WebEx alla piattaforma Zoom. Il COVID-19 e la conseguente necessità di tenere meeting aziendali a distanza hanno generato un vero e proprio “boom” nell’uso delle piattaforme di teleconferenza, con numeri complessivi di download delle app mediamente pari a 30 volte quelli registrati nello stesso periodo dell’anno precedente.
Come abbiamo evidenziato in un precedente articolo, il maggior numero di vulnerabilità e di attacchi rilevati su tutte le piattaforme nell’ultimo periodo non deve sorprendere il lettore né essere singolarmente interpretato come insicurezza generale di una piattaforma rispetto che l’altra, ma è semplice conseguenza del maggior interesse verso tali soluzioni, sia da parte della community di sicurezza, sia da parte di malintenzionati.
Per gli utenti finali, rimangono valide le normali raccomandazioni: tenere costantemente aggiornati i sistemi operativi dei propri computer, le applicazioni installate e le definizioni degli antivirus, non eseguire software di dubbia reputazione e, nel dubbio, diffidare di link o allegati inaspettati oppure provenienti da fonti sconosciute.
Andrea Palanca
Senior Cyber Security Advisor
Security Lab SAGL