微软的模拟Zoom可能会被一个GIF入侵

　　从2月底到3月中旬，至少有三周的时间，只有一个恶意GIF映像可能会破坏该服务的用户帐户数据。不仅有一个会议参与者，而且有可能是整个公司，都可以控制“整个团队帐户”。相应的漏洞已于4月20日修复，因此现在可以保护用户免受此特定攻击。但这表明，不仅Zoom遭受安全漏洞的困扰。

　　该漏洞影响了台式机和Web浏览器的所有版本的Microsoft Teams。问题在于Microsoft如何处理身份验证令牌以查看团队中的图像-特殊文件，这些文件确认“合法”用户正在访问团队帐户。这些令牌由Microsoft在其位于teams.microsoft.com或此地址的任何子域上的服务器上处理。Cyber​​Ark专家发现可以捕获其中两个子域-aadsync-test.teams.microsoft.com和data-dev.teams.microsoft.com。

　　他们发现，如果黑客可以强迫目标访问捕获的子域，则身份验证令牌将被转移到攻击者的服务器。然后他们可以创建另一个令牌-Skype，该令牌为他们提供了窃取受害者团队帐户信息所必需的访问权限。

　　诱使用户访问受感染子域的一种明显方法是经典的网络钓鱼攻击，黑客在这种攻击中发送目标链接并试图迫使受害者单击它。但是Cyber​​Ark研究人员发现这太明显了，于是他们与Donald Duck一起创建了一个“邪恶的” GIF文件，如果简单查看，它将迫使受害者的团队帐户放弃其身份验证令牌，并因此放弃其数据。这是因为GIF的来源是一个受侵害的子域，并且应用程序自动与其联系以查看图像。据网络安全专家称，黑客可以通过制造蠕虫并将攻击从一个用户传播到另一个用户，从而造成大规模的“感染”来利用此漏洞。

　　受害人仅需要查看所创建的消息而无需与之交互的事实是一个安全噩梦。可能受此漏洞影响的每个帐户也可能成为所有其他公司帐户的分发点。最终，攻击者可以通过收集机密信息，竞争数据，机密信息，密码，个人信息，业务计划，来访问组织团队帐户中的所有数据。

　　这样的攻击称为0单击，即零单击攻击。通常，很难识别它们，因此可以预防。当前，没有迹象表明可以利用此漏洞。它于4月20日修复，但在3月23日，Microsoft采取了措施以确保不会破坏易受攻击的子域。团队中错误存在的时间尚不清楚。该服务不仅是视频会议的一种手段，而且是一种发达的协作平台。其中的帐户可能包含大量重要的机密信息，它们的泄露或盗窃可能给客户公司带来巨大损失。