Trong giai đoạn dịch Covid-19 khiến nhiều người phải làm việc từ xa, ứng dụng họp nhóm như Microsoft Teams ngày càng phổ biến. Tuy nhiên càng nhiều người dùng thì mối lo về vấn đề riêng tư càng cao.
Tháng trước, các nhà nghiên cứu bảo mật tại công ty CyberArk phát hiện lỗ hổng trên Microsoft Teams (bản cho máy tính bàn và trình duyệt web) khiến dữ liệu của các tài khoản cũng như máy tính liên quan đứng trước rủi ro bị khai thác chỉ với một tấm ảnh động.
Cụ thể, nạn nhân chỉ cần xem một tấm ảnh GIF đặc biệt mà họ nhận được (từ tin tặc) thì xem như đã “mở cửa” cho hacker vào trong tài khoản của mình. Kẻ tấn công sử dụng một tên miền phụ bị xâm nhập để đánh cắp token an ninh rồi khai thác dữ liệu của nạn nhân.
Khi việc mở ảnh GIF được thực hiện, trình duyệt web sẽ cố để tải nội dung của tấm hình, hành động này sẽ gửi dữ liệu token xác thực (dùng để xác minh ảnh trong tên miền trên Skype và Teams). Dữ liệu được gửi đến một tên miền phụ, từ đó tin tặc có thể tiếp tận được token xác thực rồi thực thi kế hoạch.
Theo Neowin, lỗ hổng đã được báo cho Microsoft vào ngày 23.3 nhưng tới tận cuối tháng 4 hãng mới có bản cập nhật vá lỗi cho ứng dụng Teams. Đại diện CyberArl cho biết họ hợp tác với Trung tâm Nghiên cứu Bảo mật của Microsoft để cùng tìm hiểu lỗ hổng trên. Cho tới nay vẫn chưa có báo cáo cho thấy lỗ hổng bị tội phạm mạng khai thác thành công.