Các nhà nghiên cứu bảo mật đã phát hiện ra một phương pháp tinh vi cho phép kẻ tấn công đánh cắp các access token từ Microsoft Teams, tiềm ẩn nguy cơ cấp quyền truy cập trái phép vào các cuộc giao tiếp nội bộ nhạy cảm, email và tài liệu SharePoint của doanh nghiệp. Đây là một phát hiện đáng lo ngại, đại diện cho một rủi ro bảo mật đáng kể cho các tổ chức phụ thuộc vào bộ ứng dụng năng suất của Microsoft.

Các token bị đánh cắp có thể được vũ khí hóa một cách hiệu quả cho các hoạt động di chuyển ngang trong mạng công ty và phát động các cuộc tấn công kỹ thuật xã hội. Điều này làm tăng mức độ nguy hiểm tổng thể của lỗ hổng bảo mật Microsoft Teams này, cho phép kẻ tấn công duy trì sự hiện diện và mở rộng phạm vi xâm nhập.

Cơ chế khai thác lỗ hổng bảo mật Microsoft Teams và trích xuất token

Tiếp cận ban đầu và thu thập thông tin xác thực

Trong một kịch bản tấn công điển hình, kẻ tấn công sau khi đạt được quyền truy cập ban đầu vào máy tính của nạn nạn có thể tiến hành trích xuất các token xác thực được lưu trữ bởi Microsoft Teams trên đĩa cục bộ. Quyền truy cập này có thể đạt được thông qua nhiều phương pháp khác nhau, bao gồm lừa đảo, mã độc hoặc khai thác các lỗ hổng khác trên hệ thống.

Những token này không chỉ là dữ liệu thông thường; chúng đóng vai trò như chìa khóa số để truy cập các dịch vụ của Microsoft, cho phép kẻ tấn công mạo danh người dùng hợp pháp mà không cần phải biết mật khẩu của họ. Đây là một điểm yếu nghiêm trọng vì nó bỏ qua lớp bảo vệ xác thực chính.

Một khi đã có được các token truy cập Teams, tác nhân đe dọa có thể đọc các cuộc hội thoại Teams, truy cập email, duyệt các tài liệu được chia sẻ và thậm chí gửi tin nhắn mạo danh người dùng hợp pháp. Khả năng này mở ra cánh cửa cho các hoạt động hậu khai thác tinh vi, có thể nhanh chóng lan rộng khắp một tổ chức, từ đó biến một điểm yếu ban đầu thành một cuộc xâm nhập toàn diện.

Phá vỡ mã hóa dữ liệu: Chi tiết kỹ thuật

Cuộc tấn công khai thác một điểm yếu trong cách Microsoft Teams lưu trữ dữ liệu xác thực đã mã hóa. Các nhà nghiên cứu bảo mật đã phát hiện trong quá trình xác thực, Microsoft Teams tạo ra một tiến trình con. Tiến trình này sử dụng một công cụ trình duyệt dựa trên Chromium nhúng, được biết đến với tên msedgewebview2.exe.

Thành phần trình duyệt này có trách nhiệm ghi các cookie đã mã hóa vào một tệp cơ sở dữ liệu. Tệp này thường nằm trong thư mục AppData của người dùng. Đây là vị trí lưu trữ quan trọng mà kẻ tấn công nhắm đến.

Cơ chế mã hóa được sử dụng là DPAPI (Data Protection API), một tính năng bảo mật của Windows được thiết kế để mã hóa dữ liệu nhạy cảm bằng cách sử dụng các khóa cụ thể của máy. Thông thường, DPAPI sẽ bảo vệ dữ liệu khỏi bị truy cập trái phép. Tuy nhiên, trong trường hợp này, kẻ tấn công đã tìm ra cách vượt qua lớp bảo vệ này.

Điểm mấu chốt là kẻ tấn công có thể bypass cơ chế mã hóa DPAPI. Họ thực hiện điều này bằng cách định vị khóa mã hóa. Khóa này không được bảo vệ đúng cách và được lưu trữ trong một tệp cấu hình JSON bên trong bộ nhớ cache cục bộ của Teams. Bằng cách trích xuất khóa này và giá trị cookie đã mã hóa, chúng có thể giải mã thành công các token xác thực bằng mã hóa đối xứng AES-256-GCM. Quy trình này cho thấy sự hiểu biết sâu sắc về cấu trúc bảo mật của Teams.

Để chứng minh tính khả thi của kỹ thuật này, các nhà nghiên cứu đã phát triển thành công một công cụ proof-of-concept (PoC) được viết bằng Rust. Công cụ này tự động hóa toàn bộ quá trình trích xuất, từ việc định vị khóa đến giải mã token, chứng minh rõ ràng khả năng thực hiện cuộc tấn công đánh cắp access token Microsoft Teams trong môi trường thực tế.

Tác động và mối đe dọa mạng từ token bị đánh cắp

Khai thác Microsoft Graph API và các công cụ hậu khai thác

Khi kẻ tấn công đã có được các Microsoft Teams access tokens, chúng có thể tận dụng chúng để tương tác trực tiếp với Microsoft Graph API. Giao diện mạnh mẽ này cho phép thực hiện một loạt các hoạt động độc hại. Chúng có thể truy xuất các cuộc hội thoại Teams, đọc và gửi tin nhắn, cũng như truy cập email, tất cả trong ngữ cảnh của tài khoản người dùng bị xâm phạm.

Các nhà nghiên cứu bảo mật thậm chí còn chứng minh cách các token bị đánh cắp có thể được tích hợp vào các công cụ hậu khai thác chuyên dụng như GraphSpy. Công cụ này giúp đơn giản hóa việc tương tác trái phép với các điểm cuối của Microsoft Graph API mà không yêu cầu xác thực bổ sung. Điều này làm tăng đáng kể mối đe dọa mạng, cho phép kẻ tấn công điều khiển các tài nguyên doanh nghiệp như thể chúng là người dùng hợp pháp.

Nguy cơ lan truyền tấn công và kỹ thuật xã hội nâng cao

Các tác động của việc đánh cắp access token Microsoft Teams vượt xa việc đánh cắp dữ liệu đơn thuần. Kẻ tấn công có thể sử dụng các tài khoản bị xâm phạm để gửi tin nhắn lừa đảo (phishing) rất đáng tin cậy cho đồng nghiệp, thiết lập sự bền bỉ (persistence) trong mạng để duy trì quyền truy cập lâu dài, và tiến hành các cuộc tấn công kỹ thuật xã hội với độ tin cậy được nâng cao.

Vì các hoạt động độc hại này dường như bắt nguồn từ một tài khoản nội bộ đáng tin cậy, việc phát hiện trở nên khó khăn hơn đáng kể. Các hệ thống bảo mật truyền thống có thể không nhận ra đây là một mối đe dọa. Điều này tạo ra một thách thức lớn trong việc bảo vệ thông tin và tài sản của tổ chức khi đối mặt với lỗ hổng bảo mật Microsoft Teams.

Biện pháp phòng ngừa và tăng cường an ninh mạng

Triển khai giải pháp phát hiện và ứng phó hiệu quả

Các tổ chức nên xem xét nghiêm túc việc triển khai các giải pháp Endpoint Detection and Response (EDR) mạnh mẽ. Các giải pháp này phải có khả năng giám sát quyền truy cập vào các tệp cấu hình Teams và khóa mã hóa một cách liên tục. Việc giám sát này là tối quan trọng để sớm phát hiện các dấu hiệu của cuộc tấn công và hành vi truy cập bất thường.

Tăng cường kiểm soát truy cập và giám sát API

Các đội ngũ bảo mật cần thực thi kiểm soát truy cập nghiêm ngặt đối với các tài nguyên nhạy cảm. Đồng thời, họ phải giám sát chặt chẽ các hoạt động đáng ngờ của API Teams. Việc giáo dục người dùng về việc bảo vệ thiết bị của họ khỏi các mối đe dọa xâm nhập ban đầu cũng là một phần không thể thiếu. Những biện pháp này là yếu tố quan trọng trong việc tăng cường an ninh mạng toàn diện của tổ chức.

Việc kết hợp các chiến lược này sẽ giúp giảm thiểu đáng kể rủi ro từ việc đánh cắp access token Microsoft Teams, bảo vệ tài sản số và danh tiếng của doanh nghiệp.

Đảm bảo cập nhật hệ thống và phần mềm bảo mật

Ngoài ra, người dùng Microsoft Teams cần đảm bảo rằng hệ thống của họ nhận được các bản cập nhật bảo mật thường xuyên và liên tục. Việc chạy các giải pháp chống vi-rút hiện đại và cập nhật là cực kỳ quan trọng để ngăn chặn sự truy cập ban đầu mà cuộc tấn công này yêu cầu. Các bản vá lỗi và cập nhật phần mềm giúp khắc phục các lỗ hổng đã biết, làm giảm bề mặt tấn công của hệ thống.