Automatizovaný malware dodávaný prostřednictvím nástroje Microsoft Teams Exploit Tool

V roce Chance v roce Computer Security, Phishing

Přeložit do:

Tento nástroj s názvem „TeamsPhisher“ umožňuje penetračním testerům a protivníkům doručovat ohrožující soubory přímo uživateli Teams z vnějšího prostředí.

Útočníci mají nyní přístup k výkonnému nástroji „ TeamsPhisher “, který využívá nedávno odhalenou zranitelnost v Microsoft Teams. Tento nástroj poskytuje bezproblémový způsob doručování poškozených souborů konkrétním uživatelům v rámci organizace pomocí Teams. Díky využití komunikačních možností mezi interními a externími uživateli Teams mohou útočníci přímo vkládat škodlivé užitečné zatížení do schránek obětí, aniž by potřebovali konvenční phishing nebo taktiku sociálního inženýrství. Dostupnost tohoto nástroje vyvolává obavy z potenciálu zvýšených cílených útoků a zdůrazňuje, že je důležité, aby organizace posílily svá bezpečnostní opatření na ochranu proti takovým hrozbám.

Předpoklady a Modus Operandi

Podle vývojáře nástroje Alexe Reida, člena týmu US Navy Red Team, může TeamsPhisher dostat pokyn, aby nahrál přílohu do Sharepointu odesílatele a pokračoval v zacílení na určený seznam uživatelů Teams. Tento proces zahrnuje poskytnutí nástroje s přílohou, zprávou a seznamem cílových uživatelů. TeamsPhisher poté provede nezbytné kroky k provedení zamýšlených akcí.

TeamsPhisher využívá techniku, kterou nedávno odhalili výzkumníci z JUMPSEC Labs Max Corbridge a Tom Ellson k překonání bezpečnostního omezení v Microsoft Teams. Zatímco platforma pro spolupráci umožňuje komunikaci mezi uživateli z různých organizací, sdílení souborů je omezeno. Corbridge a Ellson však identifikovali chybu zabezpečení IDOR (Insecure Direct Object Reference), která jim umožnila toto omezení účinně obejít.

Manipulací s ID interního a externího příjemce v požadavku POST zjistili, že datová část odeslaná tímto způsobem bude umístěna v doméně SharePoint odesílatele a dostane se do doručené pošty příjemce v Teams. Tato chyba zabezpečení se týká všech organizací, které používají Teams ve výchozí konfiguraci, a umožňují útočníkům obejít opatření proti phishingu a další bezpečnostní kontroly. Navzdory tomu, že Microsoft tento problém uznal, nepovažovali to za bezprostřední prioritu nápravy. V důsledku toho musí organizace zůstat ostražité a přijmout proaktivní opatření ke zmírnění tohoto potenciálního bezpečnostního rizika.

Nástroj TeamsPhisher společnosti Reid kombinuje techniky od společností JUMPSEC, Andrea Santese a Secure Systems Engineering GmbH. Využívá TeamsEnum pro výčet uživatelů a zahrnuje metody pro počáteční přístup. TeamsPhisher ověří schopnost cílového uživatele přijímat externí zprávy a vytvoří nové vlákno, které zprávu doručí přímo do doručené pošty, a obejde tak obvyklou potvrzovací obrazovku. Jakmile bude nové vlákno spuštěno, zpráva a odkaz na přílohu Sharepoint přejdou cílovému uživateli. Po odeslání úvodní zprávy může odesílatel zobrazit vytvořené vlákno a pracovat s ním ve svém grafickém rozhraní Teams a podle potřeby řešit jakékoli konkrétní případy."

Zdroje se obrátily na Microsoft, aby se vyjádřily k dopadu vydání TeamsPhisher na jejich přístup k řešení zjištěné zranitelnosti, ale odpověď dosud nebyla obdržena. JUMPSEC doporučil, aby organizace využívající Microsoft Teams posoudily nutnost umožnit komunikaci mezi interními uživateli a externími nájemci. „Pokud pravidelně nekomunikujete s externími tenanty v Teams, je vhodné zlepšit vaše bezpečnostní kontroly a tuto možnost zcela zakázat,“ doporučuje společnost.