Offcanvas

보안 / 비즈니스|경제 / 애플리케이션

GIF 공격에 취약한 마이크로소프트 팀즈

2020.04.28 Eleanor Dickinson  |  ARN
사이버 공격자가 취약점을 이용해 별다른 의심 없는 팀즈 사용자에게 악의적인 GIF를 보낼 수 있는 것으로 조사됐다. 
 
ⓒMicrosoft

사이버 연구원은 공격자가 악의적인 GIF 파일을 통해 사용자 계정을 인계할 수 있는 마이크로소프트 팀즈의 결함을 발견했다.

보안 업체인 사이버아크(CyberArk)의 팀은 현재 사용자가 4,400만 명이 넘는 팀즈에서 하위 도메인 인계 취약점을 발견했다고 밝혔다.

마이크로소프트가 이 결함을 패치했으나, 공격자는 사용자 데이터를 긁어내고 GIF를 사용하여 조직의 팀즈 계정을 알아낼 수 있었다.

사이버아크에 따르면, 사용자는 GIF를 공유하지 않고 그냥 보기만 해도 영향을 받을 수 있어 이와 같은 취약점은 자동으로 확산될 수 있다.

사이버아크는 블로그 게시물에서 “조작된 메시지를 피해자가 열어 봐야만 영향을 받으리라는 사실은 보안 측면에서 악몽이다”라며 “이 취약점으로 영향을 받았을 수 있는 모든 계정은 다른 모든 회사 계정으로 확산될 수 있다. GIF는 그룹(일명 팀)으로 전송될 수 있기 때문에 공격자가 더 빠르고 적은 단계로 사용자를 더 쉽게 제어할 수 있다”라고 전했다. 

이 취약점은 일단 손상되면 팀즈 데스크톱이나 웹 브라우저 버전 모두에 영향을 미칠 수 있다. 이러한 결함은 코비드-19의 확산과 재택근무로 팀즈, 줌, 슬랙, 업무용 스카이프 같은 협업 도구에 대한 수요가 급증하면서 발견됐다.

경쟁자인 줌은 소프트웨어 보안 문제를 해결하고자 분투했고, 페이스북 보안 책임자인 알렉스 스타 모스를 고문으로 영입했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.