MicrosoftTeamsとGoogleMeetで会議の招待状がどのように機能するのか疑問に思ったことはありませんか。最近、私はソーシャルエンジニアリングの問題に取り組んでいましたが、ランダムな考えが浮かびました。会議の招待状は実際にどのように機能するのでしょうか。不正なスキームで使用できるのでしょうか。
はい、そのような考えはすでに以前に議論されており、この方法はすでに使用されています。しかし、それがどのように機能するかを説明した人は誰もいません。この攻撃を技術的に説明しているブログを1つも見つけることができませんでした。そのため、侵入テストやセキュリティの問題全般に関心のあるすべての人に人間の言葉で伝えるために、私はそれを自分で掘り下げることにしました。
この攻撃で私は何をしたかったのですか?
被害者が問題を理解しようとせず、単に私のリンクをたどって資格情報を要求するように、緊急性を感じさせる偽の会議招待状を送信します。
(Outlookでの)予定の作成は通常、次のように機能します。
[新しい予定]ボタンをクリックすると、メールフィールド、事前に入力されたチームテンプレート、会議のURLが記載されたページが開きます。
会議の名前を設定し、出席者を指定します
«», , .
?
, iCalendar. , iCalendar, email . , protonmail.
iCalendar?
« iCalendar (, , , / ). iCalendar ; , . .ics»
iCalendar Outlook, Google, Yahoo, Apple . Outlook.
iCalendar . protonmail, .
BEGIN:VCALENDAR
METHOD:REQUEST
PRODID:Microsoft Exchange Server 2010
VERSION:2.0
BEGIN:VTIMEZONE
TZID:GTB Standard Time
BEGIN:STANDARD
DTSTART:16010101T040000
TZOFFSETFROM:+0300
TZOFFSETTO:+0200
RRULE:FREQ=YEARLY;INTERVAL=1;BYDAY=-1SU;BYMONTH=10
END:STANDARD
BEGIN:DAYLIGHT
DTSTART:16010101T030000
TZOFFSETFROM:+0200
TZOFFSETTO:+0300
RRULE:FREQ=YEARLY;INTERVAL=1;BYDAY=-1SU;BYMONTH=3
END:DAYLIGHT
END:VTIMEZONE
BEGIN:VEVENT
ORGANIZER;CN=ExAndroid Developer:mailto:<redacted>@outlook.com
ATTENDEE;ROLE=REQ-PARTICIPANT;PARTSTAT=NEEDS-ACTION;RSVP=TRUE;CN=<redacted>@protonmail.com:mailto:<redacted>@protonmail.com
DESCRIPTION;LANGUAGE=en-US:<stripped>\n\n
UID:040000008200E00074C5B7101A82E00800000000508CC0468E28D701000000000000000
01000000096DF011F20A29943A70B5DA5047021A5
SUMMARY;LANGUAGE=en-US:Test meeting
DTSTART;TZID=GTB Standard Time:20210403T000000
DTEND;TZID=GTB Standard Time:20210404T000000
CLASS:PUBLIC
PRIORITY:5
DTSTAMP:20210403T103619Z
TRANSP:OPAQUE
STATUS:CONFIRMED
SEQUENCE:0
LOCATION;LANGUAGE=en-US:Microsoft Teams Meeting
X-MICROSOFT-CDO-APPT-SEQUENCE:0
X-MICROSOFT-CDO-OWNERAPPTID:-570210331
X-MICROSOFT-CDO-BUSYSTATUS:TENTATIVE
X-MICROSOFT-CDO-INTENDEDSTATUS:BUSY
X-MICROSOFT-CDO-ALLDAYEVENT:FALSE
X-MICROSOFT-CDO-IMPORTANCE:1
X-MICROSOFT-CDO-INSTTYPE:0
X-MICROSOFT-SKYPETEAMSMEETINGURL:https://teams.microsoft.com/l/meetup-join/
19%3ameeting_YmM1MjRmMTktYjA2N<stripped>cd8%22%7d
X-MICROSOFT-SCHEDULINGSERVICEUPDATEURL:https://api.scheduler.teams.microsof
t.com/teams/dc<stripped>DAyMmZj@thread.v2/0
X-MICROSOFT-SKYPETEAMSPROPERTIES:{"cid":"19:meeting_YmM1MjRmMTktYjA2Ny00YWQ
4LWI1NWEtZmE1NGVlMDAyMmZj@thread.v2"\,"private":true\,"type":0\,"mid":0\,"
rid":0\,"uid":null}
X-MICROSOFT-ONLINEMEETINGCONFLINK:conf:sip:<redacted>\;gruu\;opaque=
app:conf:focus:id:teams:2:0!19:meeting_YmM1MjRmMTktYjA2Ny00YWQ4LWI1NWEtZmE
1NGVlMDAyMmZj-thread.v2!56474ffc245241c5ab4081a127cc1cd8!dcf23acb18fc41d28
6acf752f1ca658d
X-MICROSOFT-DONOTFORWARDMEETING:FALSE
X-MICROSOFT-DISALLOW-COUNTER:FALSE
X-MICROSOFT-LOCATIONS:[ { "DisplayName" : "Microsoft Teams Meeting"\, "Loca
tionAnnotation" : ""\, "LocationSource" : 0\, "Unresolved" : false\, "Loca
tionUri" : "" } ]
BEGIN:VALARM
DESCRIPTION:REMINDER
TRIGGER;RELATED=START:-PT15M
ACTION:DISPLAY
END:VALARM
END:VEVENT
END:VCALENDAR
, iCalendar BEGIN: VCALENDAR
END: VCALENDAR
. BEGIN: VEVENT
END: VEVENT
. . , POC *.ics . , .
ORGANIZER. . email , , .
ATTENDEE. . , ATTENDEE. , , . 30 , .
X-MICROSOFT-SKYPETEAMSMEETINGURL. , «». , URL- , .
DTSTART, DTSTAMP, DTEND. . 5 , , 5 . email, Outlook . , 5 , . .
, , , ?
, Outlook . / email-, *.ics. POC github .
→ :
Telegram-, . .