Cyberthreat.id – Ketika orang-orang fokus pada isu keamanan dan privasi Zoom, aplikasi telekonferensi video pesaingnya, Microsoft Teams, ternyata dieksploitasi oleh peretas (hacker).

Peneliti perusahaan keamanan siber CyberArk menemukan cara peretas mengambil alih akun Teams hanya dengan mengirimkan korban sebuah gambar berbahaya berformat GIF (Graphics Interchange Format)—format gambar dengan 8-bit warna.

GIF jahat tersebut merupakan gambar Donald Duck.

“Setidaknya selama tiga pekan dari akhir Februari hingga pertengahan Maret lalu, GIF berbahaya bisa mencuri data penguna dari akun Microsoft Teams dan mengambil kendali ‘seluruh daftar akun Teams di sebuah organisasi,” peneliti mengingatkan, seperti dikutip dari Forbes, Senin (27 April 2020).

Adanya celah tersebut menunjukkan bahwa bukan hanya Zoom saja yang memiliki kelemahan, produk sekelas Microsoft pun tak jauh berbeda.

Seperti halnya Zoom, Microsoft juga "sangat cepat” menangani masalah tersebut. Microsoft langsung menambal 20 April lalu. Salah satu langkahnya ialah menghapus catatan DNS yang salah konfigurasi yang memungkinkan kontrol subdomain. Jadi, pengguna saat ini aman dari serangan tersebut.

---

Sumber: CyberArk

---

Skenario kerja GIF jahat

Metode yang dipakai peretas itu mempengaruhi  setiap Microsoft Teams versi desktop dan web browser.

Masalahnya terletak pada cara Microsoft menangani token otentikasi untuk melihat GIF lewat Teams. “Token tersebut dikontrol Microsoft di server-nya melalui teams.microsoft.com atau subdomain apa saja di bawah alamat ini,” menurut peneliti CyberArk.

Peneliti menemukan, penyerang dapat menjalankan serangan setelah mengambil alih dua subdomain, berikut:

• aadsync-test.teams.microsoft.com
• data-dev.teams.microsoft.com

“Jika penyerang dapat memaksa pengguna mengunjungi subdomain yang telah diambil alih, browser korban akan mengirimkan cookies ke server penyerang,” tutur peneliti.

Selanjutnya, penyerang (yang setelah menerima authtoken) dapat membuat token lain (sykpetoken). Setelah mendapat akses token ini, penyerang dapat mencuri data akun Teams korban.

Peneliti mengatakan, tak terlalu jelas berapa lama bug telah tersimpan di Microsoft Teams. Namun, subdomain yang rentan telah diambil alih sejak 27 Februari lalu.

Menurut peneliti, cara meyakinkan pengguna untuk mengunjungi subdomain yang dikompromikan adalah melalui serangan phishing klasik—peretas akan mengirimkan target sebuah tautan dan mencoba membuat korban mengkliknya.

Ketika korban mengklik GIF Donald Duck untuk melihat gambar, otomatis akan memaksa akun Teams korban menyerahkan token autentikasi.

Serangan tak terlihat

Selain itu, peneliti juga mengatakan, serangan tak terlihat tersebut juga bisa menyebar secara otomatis layaknya perangkat lunak jahat (malware) worm, dari satu akun yang diretas ke akun lain dalam satu perusahaan.

Dampaknya bisa sangat parah meski tidak ada indikasi peretas memanfaatkan kerentanan. Akun Teams yang terkena dampak bisa menjadi titik penyebaran ke semua akun perusahaan lainnya.

"Akhirnya, penyerang dapat mengumpulkan informasi rahasia, data kompetitif, rahasia, kata sandi, informasi pribadi, rencana bisnis dan lain-lain," tulis peneliti CyberArk.

"Mungkin, bahkan mereka juga dapat mengeksploitasi kerentanan dengan mengirim informasi palsu kepada karyawan–menyamar sebagai bos perusahaan–untuk menargetkan uang atau lain hal."[]

Video demonstrasi serangan GIF di Microsoft Teams: