Programari maliciós automatitzat lliurat mitjançant l'eina d'explotació de Microsoft Teams

El Chance el Computer Security, Phishing

Traduir a:

Anomenada "TeamsPhisher", l'eina permet als provadors de penetració i als adversaris lliurar fitxers amenaçadors directament a un usuari de Teams des d'un entorn extern.

Els atacants ara tenen accés a una potent eina "TeamsPhisher" que explota una vulnerabilitat revelada recentment a Microsoft Teams. Aquesta eina proporciona una manera perfecta de lliurar fitxers danyats a usuaris específics d'una organització que utilitza Teams. Aprofitant les capacitats de comunicació entre els usuaris d'equips interns i externs, els atacants poden inserir directament càrregues útils perjudicials a les safates d'entrada de les víctimes sense necessitat de tàctiques convencionals de pesca o enginyeria social. La disponibilitat d'aquesta eina genera preocupacions sobre el potencial d'augment dels atacs dirigits i destaca la importància que les organitzacions reforcin les seves mesures de seguretat per protegir-se d'aquestes amenaces.

Prerequisits i Modus Operandi

Segons el desenvolupador de l'eina, Alex Reid, membre de l'equip vermell de la Marina dels Estats Units, es pot demanar a TeamsPhisher que carregui un fitxer adjunt al Sharepoint del remitent i procedirà a orientar una llista especificada d'usuaris de Teams. Aquest procés implica proporcionar a l'eina un fitxer adjunt, un missatge i una llista d'usuaris objectiu. TeamsPhisher durà a terme els passos necessaris per executar les accions previstes.

TeamsPhisher utilitza una tècnica revelada recentment pels investigadors de JUMPSEC Labs Max Corbridge i Tom Ellson per superar una limitació de seguretat a Microsoft Teams. Tot i que la plataforma de col·laboració permet la comunicació entre usuaris de diferents organitzacions, l'ús compartit de fitxers està restringit. Tanmateix, Corbridge i Ellson van identificar una vulnerabilitat de referència d'objectes directes insegurs (IDOR), que els va permetre evitar aquesta restricció de manera efectiva.

En manipular l'identificador del destinatari intern i extern en una sol·licitud POST, van descobrir que una càrrega útil enviada d'aquesta manera residiria al domini de SharePoint del remitent i aterraria a la safata d'entrada de Teams del destinatari. Aquesta vulnerabilitat afecta totes les organitzacions que utilitzen Teams en una configuració predeterminada, la qual cosa permet als atacants eludir les mesures anti-phishing i altres controls de seguretat. Malgrat el reconeixement del problema per part de Microsoft, l'han considerat no una prioritat immediata per a la seva solució. Com a resultat, les organitzacions han de mantenir-se vigilants i prendre mesures proactives per mitigar aquest possible risc de seguretat.

L'eina TeamsPhisher de Reid combina tècniques de JUMPSEC, Andrea Santese i Secure Systems Engineering GmbH. Aprofita TeamsEnum per a l'enumeració d'usuaris i incorpora mètodes per a l'accés inicial. TeamsPhisher verifica la capacitat d'un usuari objectiu per rebre missatges externs i crea un fil nou per enviar el missatge directament a la safata d'entrada, sense passar per la pantalla de confirmació habitual. Un cop iniciat el fil nou, el missatge i l'enllaç adjunt de Sharepoint aniran a l'usuari de destinació. Després d'enviar el missatge inicial, el remitent pot veure i interactuar amb el fil creat a la seva GUI d'equips, abordant qualsevol cas específic segons sigui necessari".

Les fonts van contactar amb Microsoft per fer comentaris sobre l'impacte del llançament de TeamsPhisher en el seu enfocament per abordar la vulnerabilitat descoberta, però encara no s'ha rebut una resposta. JUMPSEC ha recomanat que les organitzacions que utilitzen Microsoft Teams avaluïn la necessitat d'habilitar la comunicació entre els usuaris interns i els inquilins externs. "Si no us comuniqueu regularment amb inquilins externs a Teams, és recomanable millorar els vostres controls de seguretat i desactivar aquesta opció completament", va aconsellar la companyia.