Wie ein einziges bösartiges GIF dazu führen kann, Accounts von Microsoft-Teams zu übernehmen

Microsoft hat einen Fehler in seiner Kommunikations- und Kollaborationsplattform “Teams” behoben, der ausgenutzt werden konnte, um die Kontrolle über gefährdete Konten zu übernehmen. Eine Hauptbedingung für den Angriff stellte allerdings die Kontrolle einer Subdomäne unter teams.microsoft.com dar. Die Sicherheitsforscher, welche den Angriff entdeckten, hatten zwei zur Auswahl.

Ein “Proof-of-Concept“-Angriff zeigte, wie Angreifer Konten übernehmen könnten, indem sie Benutzer dazu verleiten, ein in böswilliger Absicht erstelltes GIF anzusehen.

Eine ausführliche Erklärung kann dem Artikel hier von CyberArk entnommen werden.

Muss man deswegen jetzt gleich auf einen anderen Dienst setzen?

Meines Erachtens, NEIN.
Es kommt eher auf die Frage an, wie nutzt man solche Dienste. Geht es um “hochsensible” (Unternehmens-)Kommunikation, ist das Hosting eines eigenen Service wie bspw. Jitsi Meet oder Nextcloud Talk sicher die bessere Wahl.

Wir bei snapSEC nutzen zB Zoom und haben damit sehr gute Erfahrung.

Aber Zoom ist ja eine Datenschleuder und hat doch grobe Sicherheitsprobleme, oder?

Stephan Hansen-Oest hat dazu einen sehr guten Blog-Beitrag, in dem er die Thematik erläutert und welchen er auch ständig aktualisiert.

Letztendlich lässt sich Zoom “datenschutzfreundlich“, mit allem was dazu gehört wie Auftragsverarbeitervertrag usw., nutzen. Btr. der Behebung von Schwachstellen und auch Erhöhung der Sicherheit hat sich Zoom in einem offenen Brief dazu commited, alles notwendige dafür zu unternehmen.

Welche Kriterien haben wir für die Auswahl herangezogen?

1. Datenschutz und Informationssicherheit, regelmäßige Updates
2. Performance
3. Möglichkeit für Remote Access
4. Einfaches Setup (damit Massentauglich)
5. Schnittstellen zur Integration (Outlook usw.)
6. Clients für Windows, MAC, iOS, Android

Fazit

Letztendlich wird man bei den meisten Services, egal ob Cisco WebEx, Zoom, Microsoft Teams, Skype, GoToMeeting usw. Einwände oder etwas zum Aussetzen finden können.
Zu welchen Dienst man sich letztendlich entscheidet, hängt sicher von mehreren Faktoren ab.

Und wie gesagt, geht es um besonders sensible Kommunikation, ist das Hosting einer eigenen Plattform sicher die bessere Wahl.