江苏
关键词
安全漏洞
近期,安全公司 Tier Zero Security 发布了一款针对Microsoft Teams的新型Beacon Object File(BOF)工具,可在不影响应用运行的情况下提取用户身份验证 Cookie。这一工具建立在近期关于 Teams 存储敏感访问令牌的研究基础之上,揭示了攻击者可能通过窃取 Cookie 来冒充用户,从而访问聊天记录、电子邮件甚至文档的风险。
Teams 的认证机制依赖msedgewebview2.exe进程,该进程基于 Chromium,负责通过微软在线服务完成登录。认证期间,Teams 会将 Cookie 写入 SQLite 数据库,与传统浏览器类似。这些 Cookie 中包含可访问 Teams 会话、Skype 功能以及 Microsoft Graph API 的访问令牌。然而,相比现代 Chromium 浏览器通过 IElevator 服务和 SYSTEM 权限保护加密密钥,Teams 使用的是与当前用户主密钥绑定的Data Protection API(DPAPI),在获得加密密钥后,其 Cookie 相对容易被解密。
研究人员发现 Teams 在运行时会锁定 Cookie 数据库文件,直接读取或复制会触发应用警报。为绕过这一限制,Tier Zero Security 借鉴了开源工具Cookie-Monster-BOF的方法,通过进程注入技术在 Teams 运行进程内复制文件句柄、读取文件并利用用户的 DPAPI 主密钥解密 Cookie。这种方式无需终止 Teams 进程,可在保持应用正常运行的同时悄无声息地获取敏感信息。
该 BOF 工具不仅可注入 Teams,还可在具有相同用户权限的任意进程中执行,遍历系统内 webview 子进程以提取相关 Cookie。这虽然提高了工具适用范围,但也会产生可被检测的异常句柄操作。研究人员提供了一个示例脚本,可从中性上下文获取 Cookie,但可能会额外抓取非 Teams Cookie。
解密过程采用AES-256-GCM,从数据库中的 “v10” 标签值提取 nonce 和加密载荷后进行处理。获取令牌后,攻击者可调用 API 读取聊天记录、发送消息甚至进行钓鱼攻击,从而在横向渗透和社会工程攻击中大幅提升风险。
Tier Zero Security 已将该 BOF 工具公开至 GitHub,并兼容支持 Beacon 负载的任意 C2 框架,基础使用无需额外参数。此次发布凸显了 Teams 与强化浏览器相比在安全模型上的差距。企业应加强行为监控、防止进程注入、执行最小权限策略,并针对 DPAPI 调用或 webview 句柄操作制定端点检测规则。随着办公模式对 Teams 的依赖增加,这类漏洞也提醒安全团队需持续关注生产力应用中嵌入式浏览器组件的安全性。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
