圖片來源: 

背景圖:DavidZydd on Pixabay

美國與澳州資訊安全主管機關上周警告,影響微軟Teams等Web應用的不安全直接物件參照(insecure direct object reference,IDOR)漏洞可能遭大量濫用,繞過用戶端安全控制,使外部租戶可傳送惡意檔案給企業員工。

美國網路安全暨基礎架構管理署(CISA)、國安局(CSA)及澳洲國防情報局的澳洲網路安全中心(ACSC)上周四發布聯合網路安全諮詢,對此類漏洞發出警告,呼籲用戶、開發人員及廠商留意。

IDOR漏洞是一種存取控制的漏洞,可讓攻擊者對網站或Web應用API發送由其控制的參數(包括ID號碼、名稱或金鑰等)的呼叫,使其可直接存取Web應用某些物件(如檔案或個人資訊),在Web應用未能執行充分驗證及授權檢查時會發生這種存取權漏洞。

美、澳政府是在6月底英國安全廠商Jumpsec揭露Microsoft Teams發生IDOR漏洞後,警告IDOR漏洞可能讓惡意程式利用Teams預設配置,被植入企業網路。研究人員指出,每個企業組織在Teams擁有自己的租戶,但一個微軟帳號也能與外部租戶連繫。這使得特定租戶也能傳送檔案或訊息到其他租戶的用戶。研究人員發現,使用傳統的IDOR漏洞濫用方法,在外部租戶傳送的訊息中包含POST呼叫,並將內部與外部租戶的收信人ID互換,即能引導內部用戶連到指定的網域下載惡意檔案。

在7月初美國海軍研究人員也發布名為TeamsPhisher的工具,利用Teams的IDOR漏洞,從外部傳送附件給一個組織的整個Teams群組。

Teams並非存在IDOR漏洞的產品。The Records報導,WordPress、AT&T、或是電源管理業者伊頓(Eaton)也出現過這類瑕疵。微軟也修補過影響System Center Operations Manager的IDOR問題

CISA及ACSC指出,依IDOR種類,外部攻擊者可讀取、修改、存取企業網路的檔案、資訊等物件或是存取某些功能。外部攻擊者可濫用以下技巧,像是修改POST呼叫訊息本體中的HTML表格欄位,修改連向目標紀錄的URL、修改傳給對方的cookie ID、或使用Web代理服器攔截或修改HTTP/JSON物件呼叫。

CISA指出,這類漏洞攻擊難以防範,一來是因為Teams的使用情境眾多,無法以單一函式庫或安全功能解決,二來是攻擊者可能大規模使用自動化工具。這些特性可能引發小至個人資料外洩,大到大規模資料被竊。

針對企業開發人員,或開發商,CISA及ACSC建議採用安全開發原則,包括檢查和測試程式碼、實施驗證及授權檢查、啟用CAPTCHA等技巧。針對用戶,美澳政府則建議慎用Web應用程式、定期安裝修補程式、啟用log以警示傳送的訊息曾遭到變更。

JumpSec則建議企業管理員,如果平常沒用Teams和公司外部成員聯繫,也可以考慮關閉。方法是從「管理員中心」點入「外部存取」將之關閉。

熱門新聞

Advertisement