يتم تسليم البرامج الضارة الآلية عبر أداة استغلال Microsoft Teams

بواسطة Chance في Computer Security, Phishing

ترجمة الى:

تمكّن الأداة التي يطلق عليها اسم "TeamsPhisher" مختبري الاختراق والخصوم من تسليم ملفات مهددة مباشرةً إلى مستخدم Teams من بيئة خارجية.

يمكن للمهاجمين الآن الوصول إلى أداة "TeamsPhisher" القوية التي تستغل ثغرة أمنية تم الكشف عنها مؤخرًا في Microsoft Teams. توفر هذه الأداة طريقة سلسة لتسليم الملفات التالفة إلى مستخدمين محددين داخل مؤسسة باستخدام Teams. من خلال الاستفادة من إمكانات الاتصال بين مستخدمي Teams الداخليين والخارجيين ، يمكن للمهاجمين إدراج حمولات ضارة مباشرة في صناديق الوارد الخاصة بالضحايا دون الحاجة إلى أساليب التصيد أو الهندسة الاجتماعية التقليدية. يثير توفر هذه الأداة مخاوف بشأن احتمال زيادة الهجمات المستهدفة ويسلط الضوء على أهمية قيام المنظمات بتعزيز تدابيرها الأمنية للحماية من مثل هذه التهديدات.

المتطلبات الأساسية وطريقة العمل

وفقًا لمطور الأداة ، Alex Reid ، عضو فريق البحرية الأمريكية Red ، يمكن توجيه TeamsPhisher لتحميل مرفق إلى Sharepoint المرسل والمتابعة لاستهداف قائمة محددة من مستخدمي Teams. تتضمن هذه العملية تزويد الأداة بمرفق ورسالة وقائمة بالمستخدمين المستهدفين. سيقوم TeamsPhisher بعد ذلك بتنفيذ الخطوات اللازمة لتنفيذ الإجراءات المطلوبة.

يستخدم TeamsPhisher تقنية كشف عنها مؤخرًا باحثو JUMPSEC Labs Max Corbridge و Tom Ellson للتغلب على قيود الأمان في Microsoft Teams. بينما تسمح منصة التعاون بالاتصال بين المستخدمين من مؤسسات مختلفة ، يتم تقييد مشاركة الملفات. ومع ذلك ، حدد Corbridge و Ellson ثغرة أمنية لمرجع الكائن المباشر (IDOR) ، مما سمح لهما بتجاوز هذا التقييد بشكل فعال.

من خلال معالجة معرف المستلم الداخلي والخارجي في طلب POST ، اكتشفوا أن الحمولة المرسلة بهذه الطريقة ستوجد في مجال SharePoint الخاص بالمرسل وتنتقل إلى علبة وارد Teams الخاصة بالمستلم. تؤثر هذه الثغرة الأمنية على جميع المؤسسات التي تستخدم Teams في تكوين افتراضي ، مما يمكّن المهاجمين من التحايل على إجراءات مكافحة التصيد وعناصر التحكم في الأمان الأخرى. على الرغم من اعتراف Microsoft بالمشكلة ، إلا أنهم اعتبروا أنها ليست أولوية فورية للمعالجة. نتيجة لذلك ، يجب على المنظمات أن تظل يقظة وأن تتخذ تدابير استباقية للتخفيف من هذه المخاطر الأمنية المحتملة.

تجمع أداة TeamsPhisher من Reid بين تقنيات JUMPSEC و Andrea Santese و Secure Systems Engineering GmbH. إنها تستفيد من TeamsEnum لتعداد المستخدم وتضم أساليب للوصول الأولي. يتحقق TeamsPhisher من قدرة المستخدم المستهدف على تلقي الرسائل الخارجية وينشئ سلسلة رسائل جديدة لتسليم الرسالة مباشرة إلى صندوق الوارد ، متجاوزًا شاشة التأكيد المعتادة. بمجرد أن يبدأ الموضوع الجديد ، ستنتقل الرسالة ورابط مرفق Sharepoint إلى المستخدم المستهدف. بعد إرسال الرسالة الأولية ، يمكن للمرسل عرض سلسلة الرسائل التي تم إنشاؤها والتفاعل معها في Teams GUI ، ومعالجة أي حالات محددة حسب الضرورة. "

تواصلت المصادر مع Microsoft للتعليق على تأثير إصدار TeamsPhisher على نهجها في معالجة الثغرة الأمنية المكتشفة ، ولكن لم يتم تلقي رد بعد. أوصت JUMPSEC المؤسسات التي تستخدم Microsoft Teams بتقييم ضرورة تمكين الاتصال بين المستخدمين الداخليين والمستأجرين الخارجيين. نصحت الشركة "إذا لم تتواصل بانتظام مع المستأجرين الخارجيين في Teams ، فمن المستحسن تحسين عناصر التحكم في الأمان وتعطيل هذا الخيار تمامًا".