Аккаунты Microsoft Teams можно было взломать с помощью .GIF-файла
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Аккаунты Microsoft Teams можно было взломать с помощью .GIF-файла

Екатерина Быстрова 27 Апреля 2020 - 12:56
...
Аккаунты Microsoft Teams можно было взломать с помощью .GIF-файла

Microsoft устранила проблему безопасности сервиса Microsoft Teams, которую можно было использовать в цепочке атак для получения контроля над аккаунтами пользователей. Потенциальным злоумышленникам в процессе требовался файл в формате .GIF.

Об уязвимости сообщили исследователи из компании CyberArk. По их словам, вредоносный .GIF-файл можно использовать для сбора пользовательских данных и получения доступа ко всем аккаунтам Teams в организации.

Специалисты подчеркнули, что проблемы безопасности затрагивают как десктопную, так и веб-версию корпоративной платформы от Microsoft.

Напомним, что база пользователей Microsoft Teams сегодня постоянно растёт из-за пандемии новой коронавирусной инфекции COVID-19 — организации вынуждены переводить сотрудников на дистанционную работу.

Команда CyberArk изучила корпоративную платформу и выявила интересную особенность: каждый раз, когда пользователь запускал приложение, платформа Teams создавала новый временный токен доступа, аутентифицированный через login.microsoftonline.com. Также генерировались и другие токены для доступа к поддерживаемым сервисам вроде SharePoint и Outlook.

Два файла cookies использовались для ограничения доступа к контенту — «authtoken» и «skypetoken_asm». Токен Skype отправлялся на teams.microsoft.com и его поддомены. Как обнаружили эксперты, два таких поддомена были уязвимы.

«Если атакующий сможет заставить пользователя посетить уязвимый перехваченный поддомен, браузер жертвы отошлёт cookies на сервер злоумышленника (после получения токена аутентификации). В этом случае атакующий может создать токен Skype», — объясняют специалисты.

После вышеописанных действий киберпреступник получал возможность выкрасть данные аккаунта жертвы. CyberArk опубликовала PoC-код, демонстрирующий, как потенциальные атакующие могут использовать уязвимость.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Windows-бэкдор ShadowPad распространяется через уязвимость WSUS
Екатерина Быстрова 24 Ноября 2025 - 19:54
Windows ЭксплойтыБэкдорыУязвимости программ Домашние пользователиКорпорации Microsoft
Windows-бэкдор ShadowPad распространяется через уязвимость WSUS

Эксперты AhnLab сообщили о новой цепочке атак, в которой злоумышленники активно эксплуатируют недавно закрытую уязвимость в Windows Server Update Services (WSUS) — CVE-2025-59287. Через этот баг атакующие распространяют вредоносную программу ShadowPad, один из самых известных и продвинутых бэкдоров, связанный с китайскими госгруппами.

По данным AhnLab Security Intelligence Center, злоумышленники нацеливаются на серверы Windows, где включён WSUS. Получив доступ через уязвимость, они:

  1. Используют PowerCat — утилиту на базе PowerShell — для получения системного доступа (CMD).
  2. С помощью стандартных системных программ вроде certutil и curl скачивают и устанавливают ShadowPad.

То есть никаких «экзотических» инструментов: атака полностью строится на штатных возможностях Windows.

ShadowPad — наследник PlugX — впервые появился в 2015 году и активно используется киберпреступными группами, связанными с Китаем. SentinelOne ещё в 2021 году называла его «шедевром шпионского софта».

Это модульный бэкдор: после установки он загружает основной модуль, а затем подгружает дополнительные плагины прямо в память, не оставляя следов на диске.

Атакующие применяют технику сторонней загрузки DLL (side-loadin):

  • запускают легитимный файл ETDCtrlHelper.exe,
  • подсовывают ему поддельную DLL ETDApix.dll,
  • DLL работает как загрузчик и разворачивает ShadowPad в памяти.

 

Microsoft закрыла эту дыру в прошлом месяце. Это критическая ошибка десериализации, которую можно использовать для удалённого выполнения кода от имени SYSTEM. После публикации PoC-эксплойта преступники быстро адаптировали его под распространение ShadowPad.

AhnLab отмечает, что через эту уязвимость атакующие не только ставят бэкдор, но и проводят разведку, а в ряде случаев загружают легитимные инструменты администрирования — например, Velociraptor — чтобы замаскировать свою активность.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В России зафиксирован четырёхкратный рост атак с подменой DLL
Новость
В России зафиксирован четырёхкратный рост атак с подменой DL...
Как мошенники атакуют жителей новых регионов
Новость
Как мошенники атакуют жителей новых регионов
Firefox для Android получил защиту DNS-over-HTTPS
Новость
Firefox для Android получил защиту DNS-over-HTTPS

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.