Dass eine Hoheit wie Microsoft mit seiner Software “Teams” überhaupt von Sicherheitslecks betroffen sein könnte, hätten wir niemals vermutet. Die Plattform für Besprechungen und Chats wies bis vor kurzem allerdings eine herbe Sicherheitslücke auf, über die Datendiebstahl und Hacks möglich gewesen wären. Zum Glück entdeckten zuerst Forscher aus der IT-Security-Branche die Lücke. Microsoft reagierte unverzüglich und schloss das gefährliche Leck.
Sicherheitslücke in Form fröhlicher Bilder
Momentan – das Stichwort Corona-Krise wollen wir uns eigentlich sparen – findet eine Vielzahl an Arbeit (teilweise gezwungenermassen) im Homeoffice statt. Damit nicht alles zu förmlich wird, versenden Kollegen über den Chat gerne mal ein sogenanntes animiertes GIF. Wenn sie dafür Microsoft Teams nutzen, ist alles automatisch sicher, denken sie sich dabei.
Falsch gedacht! Genau diese in der Regel lustigen animierten Bildchen bildeten die Sicherheitslücke in Teams. Stellen Sie sich einmal folgendes Szenario vor: Sie erhalten ein besagtes GIF. Vielleicht vertrauen Sie der Quelle nicht, also klicken Sie die Bildvorschau nicht an, um die Animation zu sehen. Doch allein durch die Betrachtung erhält ein Hacker Zugriff auf Ihren Account, Ihre Gruppen in Teams und jegliche Informationen, die jemals darüber ausgetauscht wurden.
Klingt nach einem Horror-Szenario? Dann liegen Sie leider richtig. Da in der Animation und Darstellung von GIFs eine ausgefeilte Codierung zugrunde liegt, hätten Hacker das vorgestellte Szenario enorm leicht für sich ausnutzen können.
Ein kurzer Ausflug in die Welt der “GIFs”
Die Abkürzung GIF steht für “Graphics Interchange Format”. Das Grafikformat erlaubt es, mehrere einzelne Bilder zu einem zusammenzufassen und daraus eine bewegte Animation zu machen. Wer das “Daumenkino” aus vergangenen Tagen noch kennt, kann es prima damit vergleichen – bei der Betrachtung werden die schnell bewegten Bilder zu einer Szene.
Bereits seit dem Jahre 1987 existiert das heutzutage immer noch modern anmutende Format. Auch schon vorher gab es die entsprechende Darstellung, allerdings nur in schwarz-weiß. Neben der netten Animation ist ein weiterer Vorteil, dass die Bilder deutlich weniger Speicherplatz beanspruchen als vergleichbare Formate.
Die Sicherheitslücke im Detail erklärt
Wie ein im Normalfall gut gemeintes Bild böse Ausmasse annehmen könnte, wollen wir einmal genauer untersuchen. Auf dem Weg dahin kommen wir an vielen technischen Begriffen vorbei. Der Weg beginnt mit der “API”, geht über diverse “Authentifizierungen” und endet noch lange nicht bei “Tokens”.
Access Tokens
Wenn Sie die Microsoft Teams Software öffnen, kommt ein solcher Token bereits zum Zuge. Ein Token ist quasi der Sicherheitsschlüssel für den Zugang. Tokens stehen immer im Zusammenhang mit Identifizierung des Nutzers, dessen Authentifizierung (Verifizierung oder vereinfacht “Bestätigung”) und letztendlich Zugriffskontrolle.
Application Programming Interface
Oder verkürzt “API”: Es handelt sich um einen festen Bestandteil der Programmiersprache, um mehrere Programme miteinander zu verbinden – ohne Verbindung keine Kommunikation untereinander. API ist nötig, um jegliche Kommandos zu verarbeiten. Komplexe Software, wie auch Microsoft Teams, hat mehr als einen sogenannten API “Endpunkt”, um zwischen den verschiedenen Services zu kommunizieren.
Weitere Tokens und “Cookies”
Es gibt schliesslich nicht nur einen Token für den Programmstart. Für jedwede Aktion wird ein neuer Token generiert. Eine solche Aktion könnte also sein, ein GIF zu verschicken, zu empfangen oder zu betrachten. Teams generiert auf seinen Servern einen “Skype Token”, der sich mit einem Cookie namens “skypetoken_asm” gleichsetzen lässt.
Bei Cookies wiederum handelt es sich um lokal gespeicherte Daten, die den wiederholten Zugriff erleichtern sollen. Damit nicht für ausnahmslos jedes Bild, das über Chats versendet wird, eine neue Authentifizierung erfolgen muss, hat Microsoft oben genannten Cookie in Teams integriert.
Mit dem “Authtoken” Cookie wird es hochinteressant. Dieser “Keks” bildet die Authentifizierung gegenüber dem Microsoft Teams Server. Um ein GIF zu laden, muss man die Verifizierung des Servers überstehen, der das Bild bereitstellt.
Vereinfachung führte zu Sicherheitslücke
Wir könnten uns jetzt endlos weiter in technischen Fachbegriffen verlieren. Um es jedoch kurz zu machen: Die Cookies “skypetoken” und “authtoken” waren eigentlich dafür gedacht, den GIF-Versand innerhalb Teams unkompliziert zu gestalten. Wer will schon erneut sein Passwort eingeben, um das empfangene Bild anzuschauen? Doch allein der automatisierte Versuch, das GIF zu laden, sorgte für die Überwindung relevanter Sicherheitshürden. Und “schwups”, schon hat der Angreifer Zugriff auf sämtliche andere Daten.
Anders als jetzt vielleicht angenommen, ist der Diebstahl von Tokens und Cookies für Hacker überhaupt nicht interessant. Das eigentliche Problem entstand letztlich nämlich in den Sub-Domains von Microsoft. Erinnern Sie sich an dieser Stelle vielleicht an unseren kürzlichen Artikel über gehackte Websites? Keine Sorge, de facto wurde keine Microsoft Sub-Domain tatsächlich gehackt. Allerdings entdeckten die eingangs genannten Forscher in den Domain-Unterteilungen die relevante Sicherheitslücke.
Das Dilemma kommt möglicherweise wie folgt einher: Das “Opfer” (also der Empfänger des GIFs) liest die Nachricht – er muss wie gesagt nicht einmal explizit das Bild öffnen! – der Hacker gelangt so an die Token-Informationen und leitet diese an eine infizierte Unterdomain weiter. Von dort kommt die Bestätigung zurück, dass der Hacker berechtigter Nutzer ist. Schon kann der Angreifer schalten und walten, wie er will.
Niemand war wirklich sicher
Manche Firmen limitieren ihren Chat-Versand für Mitarbeiter womöglich, oder Bilder dürfen erst gar nicht verschickt werden. Die Tatsache, dass allein das Ansehen eines GIFs schon ausgereicht hätte, um den eigenen Account hacken zu lassen, klingt trotzdem extrem furchteinflössend. Ausserdem hätte die Eigenart der netten Bilder die grässliche Folge gehabt, dass der “Virus” sich voll automatisiert weiter verbreiten kann.
Selbst Unternehmen, die sich auf interne Kommunikation beschränken, waren potenzielles Angriffsziel. Wer schliesst schon gänzlich aus, bei Bedarf einen externen Teilnehmer zuzulassen? Nehmen wir nur einmal Vorstellungsgespräche via Teams, der (eigentlich von der Geschäftsführung nicht gern gesehene) Plausch mit dem Freundeskreis oder zufällige Kontaktaufnahme mit einem Neukunden.
Wir wollten es eigentlich nicht wiederholen, aber insbesondere die Corona-Krise zwingt uns oft zur Arbeit im Homeoffice. Da können wir keinerlei Einschränkungen hinnehmen und uns nicht lange damit aufhalten, irgendwelche Sicherheitseinstellungen zu inspizieren. Oft sind wir einfach darauf angewiesen, mit externen Ansprechpartnern zu kommunizieren.
Microsoft hat schnell auf Sicherheitslücke reagiert
Gott sei Dank war der Fall mehr eine Studie über das “Was wäre, wenn?”. Die Forscher informierten Microsoft am 23.03.2020 über die Ergebnisse ihrer Analysen. Noch am selben Tag wurden die zwei gemeldeten unsicheren Sub-Domains gesichert. Am 20. April, es ist also noch nicht allzu lange her, ging noch dazu ein brandneues Update von Microsoft Teams online. Alle potenziellen Lecks wie die leicht zu ergatternden Tokens sollen damit gestopft sein.
Ausserdem gibt es keinerlei Hinweise darauf, dass Hacker die Sicherheitslücke tatsächlich ausgenutzt haben. Laut Microsoft ist der GIF-Versand wieder offiziell “safe”. Sollte es anderweitige oder neue Erkenntnisse zu dem Fall geben, werden wir Sie natürlich wie gewohnt in unserem Blog informieren. Bis dahin: Bleiben auch Sie sicher und lassen sich nicht zu sehr von schlechten Nachrichten in Sachen IT-Security verunsichern. Wir sind auch weiterhin für Sie da!