美澳政府警告影響微軟Teams的IDOR竊密漏洞可能被大量濫用

美國與澳州資訊安全主管機關上周警告，影響微軟Teams等Web應用的不安全直接物件參照（insecure direct object reference，IDOR）漏洞可能遭大量濫用，繞過用戶端安全控制，使外部租戶可傳送惡意檔案給企業員工。

美國網路安全暨基礎架構管理署（CISA）、國安局（CSA）及澳洲國防情報局的澳洲網路安全中心（ACSC）上周四發布聯合網路安全諮詢，對此類漏洞發出警告，呼籲用戶、開發人員及廠商留意。

IDOR漏洞是一種存取控制的漏洞，可讓攻擊者對網站或Web應用API發送由其控制的參數（包括ID號碼、名稱或金鑰等）的呼叫，使其可直接存取Web應用某些物件（如檔案或個人資訊），在Web應用未能執行充分驗證及授權檢查時會發生這種存取權漏洞。

美、澳政府是在6月底英國安全廠商Jumpsec揭露Microsoft Teams發生IDOR漏洞後，警告IDOR漏洞可能讓惡意程式利用Teams預設配置，被植入企業網路。研究人員指出，每個企業組織在Teams擁有自己的租戶，但一個微軟帳號也能與外部租戶連繫。這使得特定租戶也能傳送檔案或訊息到其他租戶的用戶。研究人員發現，使用傳統的IDOR漏洞濫用方法，在外部租戶傳送的訊息中包含POST呼叫，並將內部與外部租戶的收信人ID互換，即能引導內部用戶連到指定的網域下載惡意檔案。

而在7月初美國海軍研究人員也發布名為TeamsPhisher的工具，利用Teams的IDOR漏洞，從外部傳送附件給一個組織的整個Teams群組。

Teams並非存在IDOR漏洞的產品。The Records報導，WordPress、AT&T、或是電源管理業者伊頓（Eaton）也出現過這類瑕疵。微軟也修補過影響System Center Operations Manager的IDOR問題。

CISA及ACSC指出，依IDOR種類，外部攻擊者可讀取、修改、存取企業網路的檔案、資訊等物件或是存取某些功能。外部攻擊者可濫用以下技巧，像是修改POST呼叫訊息本體中的HTML表格欄位，修改連向目標紀錄的URL、修改傳給對方的cookie ID、或使用Web代理服器攔截或修改HTTP/JSON物件呼叫。

CISA指出，這類漏洞攻擊難以防範，一來是因為Teams的使用情境眾多，無法以單一函式庫或安全功能解決，二來是攻擊者可能大規模使用自動化工具。這些特性可能引發小至個人資料外洩，大到大規模資料被竊。

針對企業開發人員，或開發商，CISA及ACSC建議採用安全開發原則，包括檢查和測試程式碼、實施驗證及授權檢查、啟用CAPTCHA等技巧。針對用戶，美澳政府則建議慎用Web應用程式、定期安裝修補程式、啟用log以警示傳送的訊息曾遭到變更。

JumpSec則建議企業管理員，如果平常沒用Teams和公司外部成員聯繫，也可以考慮關閉。方法是從「管理員中心」點入「外部存取」將之關閉。