最近微軟被安全廠商CyberArk發現了一個零時差的漏洞，這個漏洞是發生在最近非常火熱的視訊軟體Microsoft Teams上面，駭客只需要傳送一個惡意連結或是GIF檔就能綁架用戶帳號，而且是用戶只要看到訊息，不需有什麼動作就會中獎。

Microsoft Teams為通訊協同平台，提供包括聊天、視訊、檔案儲存和應用整合功能。在新冠肺炎爆發期間許多企業員工被迫在家上班，促使像是Microsoft Teams、Cisco Webex、Skype和Zoom這類平台用量快速衝高，但也使它們成為駭客下手的好目標。

這項攻擊的關鍵是駭客取得2個關鍵的驗證符記（token）。這2個Token分別是authtoken及skypetoken。前者負責驗證用戶，以便於Teams和Skype網域中下載圖片檔，並用於產生skypetoken，後者則是用於驗證處理用戶端呼叫的伺服器，以能執行讀取或傳送訊息等行為。微軟的原始設計是希望Teams用戶可以存取來自SharePoint、Outlook等其他不同服務資源，沒想到被利用來入侵Teams軟體成功。

研究人員還在Teams網域下發現2個不安全的子網域，並且已經成功駭入接管。他們以此為據點，發送一個惡意GIF檔給Teams用戶。在過程中，Teams用戶連結到該子網域時，瀏覽器將authtoken cookie傳給了駭客，後者可用它來產生skype token，進而成功接管該用戶的帳號，因為Teams用戶只要看到惡意訊息就會被駭，甚至無需開啟或點擊動作，因此所有Teams帳號都受影響，他們還會因此散播給其他用戶。

駭客甚至可以將惡意訊息傳到群組中，以擴大受害範圍，還可以透過綁架的帳號在公司網路上移動，最終可以蒐集到整間公司的重要檔案、業務機密、個資或密碼等敏感資訊。當然微軟也在收到CyberArk的通知後立即修補了此漏洞，只要使用Teams的用戶立即更新至最新版本就不會被駭客有機會入侵成功了。

詳文請見ithome 原文新聞稿