Automatiseret malware leveret via Microsoft Teams Exploit Tool
Værktøjet kaldet "TeamsPhisher" gør det muligt for penetrationstestere og modstandere at levere truende filer direkte til en Teams-bruger fra et eksternt miljø.
Angribere har nu adgang til et kraftfuldt "TeamsPhisher"-værktøj, der udnytter en nyligt afsløret sårbarhed i Microsoft Teams. Dette værktøj giver en problemfri måde at levere korrupte filer til specifikke brugere i en organisation ved hjælp af Teams. Ved at drage fordel af kommunikationsmulighederne mellem interne og eksterne Teams-brugere kan angribere direkte indsætte skadelige nyttelaster i ofrenes indbakker uden behov for konventionel phishing eller social engineering taktik. Tilgængeligheden af dette værktøj vækker bekymring over potentialet for øgede målrettede angreb og understreger vigtigheden af, at organisationer styrker deres sikkerhedsforanstaltninger for at beskytte mod sådanne trusler.
Forudsætninger og Modus Operandi
Ifølge værktøjets udvikler, Alex Reid, et US Navy Red Team-medlem, kan TeamsPhisher blive instrueret i at uploade en vedhæftet fil til afsenderens Sharepoint og fortsætte med at målrette mod en specificeret liste over Teams-brugere. Denne proces involverer at forsyne værktøjet med en vedhæftet fil, en besked og en liste over målbrugere. TeamsPhisher vil derefter udføre de nødvendige trin for at udføre de tilsigtede handlinger.
TeamsPhisher bruger en teknik, der for nylig blev afsløret af JUMPSEC Labs-forskerne Max Corbridge og Tom Ellson til at overvinde en sikkerhedsbegrænsning i Microsoft Teams. Mens samarbejdsplatformen tillader kommunikation mellem brugere fra forskellige organisationer, er fildeling begrænset. Men Corbridge og Ellson identificerede en Insecure Direct Object Reference (IDOR) sårbarhed, som gjorde det muligt for dem at omgå denne begrænsning effektivt.
Ved at manipulere ID'et for den interne og eksterne modtager i en POST-anmodning opdagede de, at en nyttelast sendt på denne måde ville ligge i afsenderens SharePoint-domæne og lande på modtagerens Teams-indbakke. Denne sårbarhed påvirker alle organisationer, der bruger Teams i en standardkonfiguration, hvilket gør det muligt for hackere at omgå anti-phishing-foranstaltninger og andre sikkerhedskontroller. På trods af Microsofts anerkendelse af problemet, har de ikke anset det for en umiddelbar prioritet for afhjælpning. Som følge heraf skal organisationer forblive på vagt og træffe proaktive foranstaltninger for at mindske denne potentielle sikkerhedsrisiko.
Reids TeamsPhisher-værktøj kombinerer teknikker fra JUMPSEC, Andrea Santese og Secure Systems Engineering GmbH. Det udnytter TeamsEnum til brugeroptælling og inkorporerer metoder til indledende adgang. TeamsPhisher verificerer en målbrugers evne til at modtage eksterne beskeder og opretter en ny tråd til at levere beskeden direkte til indbakken, uden at den sædvanlige bekræftelsesskærm. Når den nye tråd er startet, vil meddelelsen og Sharepoint-vedhæftningslinket gå til målbrugeren. Efter at have sendt den indledende besked, kan afsenderen se og interagere med den oprettede tråd i deres Teams GUI og behandle eventuelle specifikke tilfælde efter behov."
Kilder kontaktede Microsoft for at få en kommentar om virkningen af TeamsPhishers udgivelse på deres tilgang til at løse den opdagede sårbarhed, men et svar er endnu ikke modtaget. JUMPSEC har anbefalet, at organisationer, der bruger Microsoft Teams, vurderer nødvendigheden af at muliggøre kommunikation mellem interne brugere og eksterne lejere. "Hvis du ikke regelmæssigt kommunikerer med eksterne lejere på Teams, er det tilrådeligt at forbedre dine sikkerhedskontroller og deaktivere denne mulighed helt," rådede virksomheden.
Automatiseret malware leveret via Microsoft Teams Exploit Tool Skærmbilleder
