美澳政府警告影響微軟Teams的IDOR竊密漏洞可能被大量濫用
· 2023-07-31

針對影響微軟Teams等Web應用的不安全直接物件參照(IDOR)漏洞,美澳政府警告這項存取控制漏洞恐遭大規模濫用

背景圖:DavidZydd on Pixabay

美國與澳州資訊安全主管機關上周警告,影響微軟Teams等Web應用的不安全直接物件參照(insecure direct object reference,IDOR)漏洞可能遭大量濫用,繞過用戶端安全控制,使外部租戶可傳送惡意檔案給企業員工。

美國網路安全暨基礎架構管理署(CISA)、國安局(CSA)及澳洲國防情報局的澳洲網路安全中心(ACSC)上周四發布聯合網路安全諮詢,對此類漏洞發出警告,呼籲用戶、開發人員及廠商留意。

IDOR漏洞是一種存取控制的漏洞,可讓攻擊者對網站或Web應用API發送由其控制的參數(包括ID號碼、名稱或金鑰等)的呼叫,使其可直接存取Web應用某些物件(如檔案或個人資訊),在Web應用未能執行充分驗證及授權檢查時會發生這種存取權漏洞。

美、澳政府是在6月底英國安全廠商Jumpsec揭露Microsoft Teams發生IDOR漏洞,可能讓惡意程式利用Teams預設配置,被植入企業網路。研究人員指出,每個企業組織在Teams擁有自己的租戶,但一個微軟帳號也能與外部租戶連繫。這使得特定租戶也能傳送檔案或訊息到其他租戶的用戶。研究人員發現,使用傳統的IDOR漏洞濫用方法,在外部租戶傳送的訊息中包含POST呼叫,並將內部與外部租戶的收信人ID互換,即能引導內部用戶連到指定的網域下載惡意檔案。

而在7月初美國海軍研究人員也發布名為TeamsPhisher的工具,利用Teams的IDOR漏洞,從外部傳送附件給一個組織的整個Teams群組。

Teams並非存在IDOR漏洞的產品。The Records報導,WordPress、AT&T、或是電源管理業者伊頓(Eaton)也出現過這類瑕疵。微軟也修補過影響System Center Operations Manager的IDOR問題。

CISA及ACSC指出,依IDOR種類,外部攻擊者可讀取、修改、存取企業網路的檔案、資訊等物件或是存取某些功能。外部攻擊者可濫用以下技巧,像是修改POST呼叫訊息本體中的HTML表格欄位,修改連向目標紀錄的URL、修改傳給對方的cookie ID、或使用Web代理服器攔截或修改HTTP/JSON物件呼叫。

CISA指出,這類漏洞攻擊難以防範,一來是因為Teams的使用情境眾多,無法以單一函式庫或安全功能解決,二來是攻擊者可能大規模使用自動化工具。這些特性可能引發小至個人資料外洩,大到大規模資料被竊。

針對企業開發人員,或開發商,CISA及ACSC建議採用安全開發原則,包括檢查和測試程式碼、實施驗證及授權檢查、啟用CAPTCHA等技巧。針對用戶,美澳政府則建議慎用Web應用程式、定期安裝修補程式、啟用log以警示傳送的訊息曾遭到變更。

JumpSec則建議企業管理員,如果平常沒用Teams和公司外部成員聯繫,也可以考慮關閉。方法是從「管理員中心」點入「外部存取」將之關閉。

热门文章
Zenith partners with HUIDU for 2026 World Cup Carnival Official Tour
Online Game
Are you ready to maximize your earnings? Try ProPush.me Constructor!
Marketing
1spin4win grows its Latin American presence by partnering with Fortuna Juegos
Online Game
JILI Partners with Cricket Legend AB de Villiers (ABD) to Launch Exclusive Branded Game Series 100% 11
Sports Game
PropellerAds Shared a New iGaming Case Study: 97,674 Installs and 12,701 Deposits in 3 Months
Marketing
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
SBC Summit Canada to Make Player Safety a Key Pillar of 2026 Agenda
Marketing
PropellerAds Positions Itself as a Go-To Traffic Source for iGaming Advertisers Ahead of a High-Demand Season
Marketing
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
Manila delivers: Highlights from SiGMA Asia 2026 
Southeast Asia
Indiana online casino bill stalls in House committee
Regulation
Full House at GAT Expo Cartagena 2026 Academic Agenda
Online Game
GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean
Marketing
GAT Expo CDMX 2026 Kicks Off Today in Mexico with a Sold-Out Opening Reception at Big Bola Casino Santa Fe
Marketing
Vietnam’s Controlled Gaming Shift Gains Ground, But Domestic Demand Still Lags
Southeast Asia
首页
游戏
合作
发现
我的