Автоматизиран злонамерен софтуер, доставен чрез Microsoft Teams Exploit Tool

Наречен „TeamsPhisher“, инструментът позволява на тестери за проникване и противници да доставят заплашителни файлове директно на потребител на Teams от външна среда.

Нападателите вече имат достъп до мощен инструмент " TeamsPhisher ", който използва наскоро разкрита уязвимост в Microsoft Teams. Този инструмент предоставя безпроблемен начин за доставяне на повредени файлове до конкретни потребители в рамките на организация с помощта на Teams. Като се възползват от комуникационните възможности между вътрешните и външните потребители на Teams, нападателите могат директно да вмъкват вредни полезни данни във входящите кутии на жертвите без необходимост от конвенционални тактики за фишинг или социално инженерство. Наличието на този инструмент поражда загриженост относно потенциала за увеличаване на целенасочените атаки и подчертава значението на организациите да засилят своите мерки за сигурност, за да се предпазят от подобни заплахи.

Предпоставки и начин на действие

Според разработчика на инструмента, Алекс Рийд, член на Червения екип на ВМС на САЩ, TeamsPhisher може да бъде инструктиран да качи прикачен файл в Sharepoint на подателя и да продължи към определен списък от потребители на Teams. Този процес включва предоставяне на инструмента с прикачен файл, съобщение и списък с целеви потребители. След това TeamsPhisher ще извърши необходимите стъпки за изпълнение на планираните действия.

TeamsPhisher използва техника, наскоро разкрита от изследователите на JUMPSEC Labs Макс Корбридж и Том Елсън, за да преодолее ограничение на сигурността в Microsoft Teams. Докато платформата за сътрудничество позволява комуникация между потребители от различни организации, споделянето на файлове е ограничено. Корбридж и Елсън обаче идентифицираха уязвимост на Insecure Direct Object Reference (IDOR), която им позволи да заобиколят ефективно това ограничение.

Чрез манипулиране на идентификатора на вътрешния и външния получател в POST заявка, те откриха, че полезен товар, изпратен по този начин, ще се намира в домейна на SharePoint на подателя и ще кацне във входящата кутия на Teams на получателя. Тази уязвимост засяга всички организации, използващи Teams в конфигурация по подразбиране, позволявайки на нападателите да заобиколят мерките за защита срещу фишинг и други контроли за сигурност. Въпреки признанието на Microsoft за проблема, те го смятат за не непосредствен приоритет за отстраняване. В резултат на това организациите трябва да останат бдителни и да предприемат проактивни мерки за смекчаване на този потенциален риск за сигурността.

Инструментът TeamsPhisher на Reid съчетава техники от JUMPSEC, Andrea Santese и Secure Systems Engineering GmbH. Той използва TeamsEnum за изброяване на потребители и включва методи за първоначален достъп. TeamsPhisher проверява способността на целевия потребител да получава външни съобщения и създава нова нишка, за да достави съобщението директно във входящата кутия, заобикаляйки обичайния екран за потвърждение. След като новата нишка започне, съобщението и връзката за прикачен файл към Sharepoint ще отидат до целевия потребител. След като изпрати първоначалното съобщение, подателят може да преглежда и взаимодейства със създадената нишка в своя GUI на Teams, като адресира всички конкретни случаи, ако е необходимо."

Източници се обърнаха към Microsoft за коментар относно въздействието на изданието на TeamsPhisher върху техния подход за справяне с откритата уязвимост, но отговор все още не е получен. JUMPSEC препоръча на организациите, използващи Microsoft Teams, да преценят необходимостта от активиране на комуникация между вътрешни потребители и външни наематели. „Ако не комуникирате редовно с външни наематели в Teams, препоръчително е да подобрите контролите си за сигурност и да деактивирате тази опция изцяло“, съветват от компанията.

Автоматизиран злонамерен софтуер, доставен чрез Microsoft Teams Exploit Tool екранни снимки