Microsoft Teams’te GIF Kullanılarak Kullanıcı Verilerine Erişilebilen Bir Açık Keşfedildi

Bir güvenlik şirketi, Microsoft Teams uygulamasında, GIF dosyası kullanılarak kullanıcı bilgilerinin ele geçirilmesini sağlayan bir açık keşfetti. Microsoft, keşfedilen açığı geçtiğimiz günlerde kapattı.

Koronavirüs salgını nedeniyle evden çalışan insanların yanı sıra, uzaktan eğitim modelinin de yaygınlaşması video konferans araçlarına olan ilgiyi arttırdı. Zoom ve Houseparty gibi popüler uygulamaların yanında, Microsoft’un video konferans aracı Teams de en çok tercih edilen seçeneklerden oldu.

Kötü amaçlı GIF’ler bilgileri alabilir

Güvenlik alanında çalışan bir şirket, Mart ayında Microsoft Teams’te, kötü amaçlı GIF dosyalarının kullanıcı verilerini çalmak için kullanılabileceğini öne sürdü. Güvenlik açığının kamuoyuna yansımasının ardından Microsoft, geçen hafta açığı kapattı.

GIF açığının nasıl bilgileri ele geçirmek için kullanılabileceğini merak ediyorsanız, açık kimlik doğrulma sisteminin erişim belirteçlerini etkileyen bir yapıya sahip. Bu belirteçler, Microsoft Teams hesabına erişimi doğrulayan bir yapı olarak da düşünülebilir. Microsoft’un, teams.microsoft.com adresi üzerinde yer alan belirteçler, zaman zaman bu tip durumlarda bir açık olarak kullanılabiliyor.

Araştırmacılar, Microsoft’un alt alan adlarının ele geçirilmesinin mümkün olduğunu keşfedince, bir Donald Duck GIF’ı ile kimlik doğrulama belirtecini hedef aldılar. GIF kaynağı, alt alan adı olarak değiştirildiği için, kimlik bilgilerine de doğrudan erişim sağlandı.

Şirkete göre, bu açık birçok kişiyi etkilemiş olabilir. Erişim açığı, şirketler için de büyük bir risk olabilir. Nitekim Teams, şirketlerle ilgili kritik verilerin de yer aldığı özel bir uygulama. Yine de, Teams GIF açığından şu ana kadar yararlanıldığına ilişkin bir kanıt da henüz yok.