Dass eine Hoheit wie Microsoft mit seiner Software „Teams“ überhaupt von Sicherheitslecks betroffen sein könnte, hätten wir niemals vermutet. Die Plattform für Besprechungen und Chats wies bis vor Kurzem allerdings eine herbe Sicherheitslücke auf, über die Datendiebstahl und Hacks möglich gewesen wären. Zum Glück entdeckten zuerst Forscher aus der IT-Security-Branche die Lücke. Microsoft reagierte unverzüglich und schloss das gefährliche Leck.
Sicherheitslücke in Form fröhlicher Bilder
Damals – Corona-Krise war das Stichwort – fand ein Grossteil der Arbeit im Homeoffice statt. Damit nicht alles zu förmlich wird, verschicken Kolleginnen und Kollegen über den Chat gerne mal ein sogenanntes animiertes GIF. In Microsoft Teams ist doch alles automatisch sicher, dachten sie sich dabei.
Falsch gedacht. Genau diese lustigen animierten Bildchen bildeten die Sicherheitslücke in Teams. Stell dir folgendes Szenario vor: Du erhältst ein besagtes GIF. Du vertraust der Quelle vielleicht nicht, also klickst du die Bildvorschau nicht an. Doch allein durch die Betrachtung erhält ein Hacker Zugriff auf deinen Account, deine Gruppen in Teams und sämtliche Informationen, die jemals darüber ausgetauscht wurden.
Klingt nach einem Horror-Szenario? Leider ja. Da in der Animation und Darstellung von GIFs eine ausgefeilte Codierung zugrunde liegt, hätten Hacker das beschriebene Szenario enorm leicht ausnutzen können.
Ein kurzer Ausflug in die Welt der „GIFs“
Die Abkürzung GIF steht für „Graphics Interchange Format“. Das Grafikformat erlaubt es, mehrere einzelne Bilder zu einem zusammenzufassen und daraus eine bewegte Animation zu machen. Wer das Daumenkino aus vergangenen Tagen noch kennt, kann es prima damit vergleichen – bei der Betrachtung werden die schnell wechselnden Bilder zu einer Szene.
Bereits seit 1987 existiert das Format, das bis heute modern anmutet. Neben der netten Animation beanspruchen GIFs deutlich weniger Speicherplatz als vergleichbare Formate.
Die Sicherheitslücke im Detail erklärt
Wie ein gut gemeintes Bild böse Ausmasse annehmen kann, lohnt sich genauer zu untersuchen. Auf dem Weg dahin kommen wir an einigen technischen Begriffen vorbei: von der „API“ über diverse „Authentifizierungen“ bis hin zu „Tokens“.
Access Tokens
Wenn du die Microsoft Teams Software öffnest, kommt ein solcher Token bereits zum Zuge. Ein Token ist quasi der Sicherheitsschlüssel für den Zugang – er steht immer im Zusammenhang mit der Identifizierung des Nutzers, dessen Authentifizierung und letztendlich der Zugriffskontrolle.
Application Programming Interface
Oder verkürzt „API“: ein fester Bestandteil der Programmiersprache, um mehrere Programme miteinander zu verbinden. Ohne diese Verbindung keine Kommunikation untereinander. Die API verarbeitet jegliche Kommandos. Komplexe Software wie Microsoft Teams hat mehr als einen sogenannten API-„Endpunkt“, um zwischen den verschiedenen Services zu kommunizieren.
Weitere Tokens und „Cookies“
Es gibt nicht nur einen Token für den Programmstart. Für jede Aktion wird ein neuer Token generiert – etwa wenn du ein GIF verschickst, empfängst oder einfach betrachtest. Teams generiert auf seinen Servern einen „Skype Token“, der sich mit einem Cookie namens „skypetoken_asm“ gleichsetzen lässt.
Cookies sind lokal gespeicherte Daten, die den wiederholten Zugriff erleichtern sollen. Damit nicht für jedes Bild im Chat eine neue Authentifizierung nötig ist, hat Microsoft diesen Cookie in Teams integriert.
Besonders interessant wird es beim „Authtoken“ Cookie. Dieser bildet die Authentifizierung gegenüber dem Microsoft Teams Server. Um ein GIF zu laden, muss die Verifizierung des Servers bestanden werden, der das Bild bereitstellt.
Vereinfachung führte zu Sicherheitslücke
Kurz zusammengefasst: Die Cookies „skypetoken“ und „authtoken“ waren dafür gedacht, den GIF-Versand innerhalb von Teams unkompliziert zu gestalten. Wer will schon erneut sein Passwort eingeben, nur um ein empfangenes Bild anzuschauen? Doch allein der automatisierte Versuch, das GIF zu laden, sorgte für die Überwindung relevanter Sicherheitshürden – und schon hatte der Angreifer Zugriff auf sämtliche andere Daten.
Der Diebstahl von Tokens und Cookies ist für Hacker dabei gar nicht das eigentliche Ziel. Das Problem entstand in den Sub-Domains von Microsoft. Erinnerst du dich an unseren Artikel über gehackte Websites? De facto wurde keine Microsoft Sub-Domain tatsächlich gehackt – aber die Forscher entdeckten in den Domain-Unterteilungen die relevante Sicherheitslücke.
Das Dilemma funktionierte so: Das „Opfer“ liest die Nachricht – muss das Bild nicht einmal explizit öffnen – und der Hacker gelangt so an die Token-Informationen. Diese leitet er an eine infizierte Unterdomain weiter, die zurückmeldet, dass er berechtigter Nutzer sei. Danach kann der Angreifer schalten und walten, wie er will.
Niemand war wirklich sicher
Manche Firmen limitieren den Chat-Versand für Mitarbeitende oder erlauben Bilder erst gar nicht. Trotzdem klingt es extrem beunruhigend, dass allein das Ansehen eines GIFs ausgereicht hätte, um den eigenen Account hacken zu lassen. Dazu kam: Die Eigenart dieser Bilder hätte dafür gesorgt, dass sich das Problem voll automatisiert weiter verbreitet.
Selbst Unternehmen mit interner Kommunikation waren potenzielles Angriffsziel. Wer schliesst schon aus, bei Bedarf einen externen Teilnehmer zuzulassen? Vorstellungsgespräche via Teams, ein kurzer Plausch mit dem Freundeskreis oder die spontane Kontaktaufnahme mit einem Neukunden – das alles reicht.
Gerade in der Homeoffice-Zeit konnten wir uns keine Einschränkungen leisten und hatten selten Zeit, Sicherheitseinstellungen zu inspizieren. Die Abhängigkeit von externen Kommunikationskanälen war schlicht Alltag.
Microsoft hat schnell auf Sicherheitslücke reagiert
Glücklicherweise blieb der Fall eine Studie über das „Was wäre, wenn?“. Die Forscher informierten Microsoft am 23.03.2020 über ihre Ergebnisse. Noch am selben Tag wurden die zwei gemeldeten unsicheren Sub-Domains gesichert. Am 20. April folgte ein brandneues Update von Microsoft Teams, das alle potenziellen Lecks – inklusive der leicht zu ergatternden Tokens – stopfen soll.
Es gibt ausserdem keinerlei Hinweise darauf, dass Hacker die Sicherheitslücke tatsächlich ausgenutzt haben. Laut Microsoft ist der GIF-Versand wieder offiziell „safe“. Sollte es neue Erkenntnisse zu dem Fall geben, findest du sie wie gewohnt in unserem Blog. Bis dahin: Bleib sicher und lass dich nicht zu sehr von schlechten Nachrichten in Sachen IT-Security verunsichern.