Microsoft heeft een lek gerepareerd in videochatplatform Teams waarmee aanvallers alle accounts in een subdomein konden overnemen door een geïnfecteerd .gif-bestand te sturen. Het lek zat in zowel de desktop- als de webversie.

Het lek werd ontdekt door beveiligingsbedrijf CyberArk. De onderzoekers ontdekten dat Teams-accounts binnen een subdomein over te nemen waren door voor dat domein een authenticatietoken te laten genereren. Telkens als Teams wordt geopend, wordt een nieuw, tijdelijk toegangstoken gegenereerd. Daarbij worden restricties opgelegd over wie kan inloggen via cookies. Een van die cookies werd doorgestuurd naar subdomeinen van teams.microsoft.com. Dat subdomein was kwetsbaar voor een overname, ontdekte CyberArk.

Doordat het subdomein kon worden overgenomen, konden de aanvallers authenticatietokens stelen als gebruikers naar het subdomein werden geleid. Dat kon bijvoorbeeld door hen op een geïnfecteerde link te laten klikken. De onderzoekers vonden echter ook een manier om een gif-bestand te versturen waarmee het authenticatietoken automatisch kon worden gegenereerd en doorgestuurd naar het subdomein. Daarvoor hoefden gebruikers de gif alleen maar te bekijken. Het was vervolgens mogelijk om het token te stelen van iedere Teams-gebruiker die het bekeek.

Het lek zat in de webversie en de desktopdownload van Teams. CyberArk meldde het lek een maand geleden aan Microsoft. Het bedrijf heeft de kwetsbaarheid inmiddels gerepareerd. Volgens Microsoft zijn er geen aanwijzingen dat het lek actief is misbruikt.