Các nhà nghiên cứu an ninh mạng tại Tier Zero Security đã công bố một công cụ Beacon Object File (BOF) chuyên biệt. Công cụ này khai thác một điểm yếu nghiêm trọng trong cơ chế mã hóa cookie của Microsoft Teams, cho phép kẻ tấn công đánh cắp tin nhắn trò chuyện và các thông tin liên lạc nhạy cảm khác. Đây là một lỗ hổng Microsoft Teams đáng chú ý, tiềm ẩn nguy cơ rò rỉ dữ liệu nghiêm trọng cho người dùng và tổ chức.
Vấn đề cốt lõi bắt nguồn từ cách Microsoft Teams xử lý mã hóa cookie, một phương pháp khác biệt so với các trình duyệt nền Chromium hiện đại. Trong khi các trình duyệt tiên tiến như Google Chrome và Microsoft Edge sử dụng dịch vụ IElevator dựa trên COM chạy với đặc quyền SYSTEM để bảo vệ các khóa mã hóa, Microsoft Teams vẫn lệ thuộc vào khóa chính Data Protection API (DPAPI) của người dùng hiện tại.
Cơ chế bảo vệ này bị đánh giá là yếu hơn đáng kể. Nó tạo điều kiện thuận lợi cho kẻ tấn công giải mã cookie mà không yêu cầu đặc quyền quản trị cao hơn. Điều này làm gia tăng mức độ rủi ro và khả năng bị khai thác của lỗ hổng Microsoft Teams trên diện rộng.
Cơ Chế Hoạt Động Của Microsoft Teams và Điểm Yếu Mã Hóa
Quy Trình Lưu Trữ và Mã Hóa Cookie
Microsoft Teams tích hợp và sử dụng tiến trình msedgewebview2.exe. Đây là một thành phần dựa trên Chromium, có nhiệm vụ hiển thị nội dung trình duyệt ngay trong giao diện ứng dụng. Khi người dùng thực hiện quá trình xác thực thành công, Teams sẽ lưu trữ các cookie phiên làm việc của họ.
Các cookie này được lưu trữ trong một cơ sở dữ liệu SQLite chuyên dụng, tương tự như cách các trình duyệt web thông thường quản lý dữ liệu này. Tuy nhiên, sự khác biệt nằm ở phương thức bảo vệ.
Khóa mã hóa chịu trách nhiệm bảo vệ các cookie này có thể được truy cập trực tiếp thông qua khóa chính DPAPI của người dùng. Điều này đơn giản hóa đáng kể quá trình trích xuất cho các tác nhân đe dọa, đặc biệt khi chúng đã đạt được đặc quyền ở cấp độ người dùng thông thường trên hệ thống mục tiêu.
Công cụ teams-cookies-bof mới được phát hành đại diện cho một phiên bản sửa đổi và tối ưu hóa từ framework Cookie-Monster-BOF đã tồn tại trước đó. Phiên bản này được điều chỉnh đặc biệt để nhắm mục tiêu vào cơ chế xử lý cookie của Microsoft Teams, khai thác trực tiếp lỗ hổng Microsoft Teams.
Các nhà nghiên cứu đã chỉ ra rằng các nỗ lực đánh cắp cookie Teams trong quá khứ thường gặp phải một hạn chế lớn. Đó là tệp chứa cookie vẫn bị khóa (lock) trong khi ứng dụng Teams đang hoạt động, gây khó khăn cho việc truy cập.
Phương pháp khai thác mới sử dụng BOF đã giải quyết hiệu quả trở ngại này. Bằng cách hoạt động trực tiếp trong ngữ cảnh của chính tiến trình Teams thông qua các kỹ thuật tiên tiến như DLL hijacking hoặc COM hijacking, công cụ này loại bỏ hoàn toàn yêu cầu phải tắt ứng dụng Teams. Đây là một cải tiến đáng kể trong chiến thuật khai thác.
Kỹ Thuật Tấn Công Chi Tiết và Phạm Vi Xâm Nhập
Quy Trình Khai Thác Cookie Teams
Phương pháp tấn công triển khai BOF trong ngữ cảnh tiến trình ms-teams.exe. Sau khi được thực thi, công cụ sẽ tiến hành quét để tìm kiếm tiến trình con của web view, vốn đang duy trì một handle mở đến tệp chứa cookie.
Tiếp theo, công cụ thực hiện sao chép handle này, cho phép nó đọc toàn bộ nội dung của tệp cookie. Sau đó, dữ liệu được tải xuống và đồng thời, khóa mã hóa cookie được giải mã. Quá trình giải mã này sử dụng chính khóa chính DPAPI của người dùng hiện tại, hoàn tất chu trình khai thác lỗ hổng Microsoft Teams.
Để tìm hiểu sâu hơn về chi tiết kỹ thuật và cơ chế hoạt động của công cụ này, độc giả có thể tham khảo bài đăng gốc của các nhà nghiên cứu tại Tier Zero Security.
Tác Động Sau Khi Thu Thập Cookie
Khi kẻ tấn công đã thu thập và giải mã thành công các cookie, chúng sẽ có được quyền truy cập vào các mã thông báo xác thực quan trọng. Các mã thông báo này cấp phép tương tác trực tiếp với các API của Microsoft Teams, Skype và Microsoft Graph.
Quyền truy cập này mang lại khả năng to lớn cho các tác nhân đe dọa. Chúng có thể đọc toàn bộ lịch sử tin nhắn Teams hiện có, gửi các tin nhắn mới để mạo danh nạn nhân, và tiềm năng cao hơn là truy cập vào các tài nguyên Microsoft 365 khác thuộc phạm vi quyền hạn của người dùng. Mức độ nghiêm trọng của việc khai thác lỗ hổng Microsoft Teams là không thể xem nhẹ.
Các mã thông báo bị đánh cắp không chỉ giới hạn trong Teams. Chúng có thể được sử dụng kết hợp với các công cụ hậu khai thác chuyên biệt như GraphSpy. Điều này giúp mở rộng bề mặt tấn công của kẻ xấu trên toàn bộ hệ sinh thái dịch vụ của Microsoft, dẫn đến khả năng chiếm quyền kiểm soát tài khoản và dữ liệu nhạy cảm trên diện rộng.
Khả Năng Áp Dụng Rộng Rãi
Phương pháp giải mã cookie được sử dụng trong công cụ mới vẫn giữ nguyên các nguyên tắc từ công cụ Cookie-Monster-BOF gốc. Quan trọng hơn, nó tương thích với bất kỳ framework Command and Control (C2) nào có khả năng thực thi các tệp BOF.
Khả năng tương thích linh hoạt này giúp kỹ thuật khai thác trở nên dễ dàng được áp dụng bởi nhiều loại tác nhân đe dọa khác nhau, từ các nhóm tấn công có tổ chức đến các đội đỏ (red team operators) trong các bài kiểm tra xâm nhập. Đây là một dạng lỗ hổng CVE tiềm ẩn với nguy cơ bị lợi dụng rộng rãi nếu không được khắc phục kịp thời.
Biện Pháp Phòng Ngừa và Tăng Cường An Ninh Mạng
Giám Sát và Phát Hiện Tấn Công
Các tổ chức đang sử dụng Microsoft Teams cần ưu tiên triển khai các giải pháp phát hiện và phản ứng điểm cuối (EDR) mạnh mẽ. Các giải pháp này phải có khả năng giám sát chặt chẽ các hành vi tiến trình bất thường.
Cụ thể, việc giám sát cần tập trung vào các hoạt động sao chép handle bất thường và mọi nỗ lực truy cập trái phép vào các cơ sở dữ liệu cookie của Teams. Việc chủ động theo dõi và phản ứng là yếu tố then chốt để bảo vệ chống lại việc khai thác lỗ hổng Microsoft Teams.
Bên cạnh đó, việc tăng cường tổng thể an ninh mạng thông qua việc thiết lập các chính sách bảo mật nghiêm ngặt và thực hiện các bản cập nhật bảo mật định kỳ là cực kỳ cần thiết. Những biện pháp này giúp giảm thiểu đáng kể rủi ro từ các cuộc tấn công khai thác lỗ hổng Microsoft Teams và các mối đe dọa mạng tương tự.
