Αυτοματοποιημένο κακόβουλο λογισμικό που παραδίδεται μέσω του Microsoft Teams Exploit Tool

Μέχρι το Chance το Computer Security, Phishing

Μετάφραση σε:

Με το όνομα "TeamsPhisher", το εργαλείο επιτρέπει στους δοκιμαστές διείσδυσης και στους αντιπάλους να παραδίδουν απειλητικά αρχεία απευθείας σε έναν χρήστη του Teams από εξωτερικό περιβάλλον.

Οι εισβολείς έχουν πλέον πρόσβαση σε ένα ισχυρό εργαλείο "TeamsPhisher" που εκμεταλλεύεται μια ευπάθεια που αποκαλύφθηκε πρόσφατα στο Microsoft Teams. Αυτό το εργαλείο παρέχει έναν απρόσκοπτο τρόπο παράδοσης κατεστραμμένων αρχείων σε συγκεκριμένους χρήστες σε έναν οργανισμό που χρησιμοποιεί το Teams. Εκμεταλλευόμενοι τις δυνατότητες επικοινωνίας μεταξύ των εσωτερικών και εξωτερικών χρηστών του Teams, οι εισβολείς μπορούν να εισάγουν απευθείας επιβλαβή φορτία στα εισερχόμενα των θυμάτων χωρίς να χρειάζονται συμβατικές τακτικές phishing ή κοινωνικής μηχανικής. Η διαθεσιμότητα αυτού του εργαλείου εγείρει ανησυχίες σχετικά με την πιθανότητα αυξημένων στοχευμένων επιθέσεων και υπογραμμίζει τη σημασία των οργανισμών να ενισχύσουν τα μέτρα ασφαλείας τους για την προστασία από τέτοιες απειλές.

Προαπαιτούμενα και Modus Operandi

Σύμφωνα με τον προγραμματιστή του εργαλείου, Alex Reid, μέλος της Ομάδας του Ναυτικού των ΗΠΑ, το TeamsPhisher μπορεί να λάβει οδηγίες να ανεβάσει ένα συνημμένο στο Sharepoint του αποστολέα και να προχωρήσει στη στόχευση μιας καθορισμένης λίστας χρηστών του Teams. Αυτή η διαδικασία περιλαμβάνει την παροχή στο εργαλείο ενός συνημμένου, ενός μηνύματος και μιας λίστας χρηστών-στόχων. Το TeamsPhisher θα πραγματοποιήσει στη συνέχεια τα απαραίτητα βήματα για να εκτελέσει τις προβλεπόμενες ενέργειες.

Το TeamsPhisher χρησιμοποιεί μια τεχνική που αποκαλύφθηκε πρόσφατα από τους ερευνητές της JUMPSEC Labs, Max Corbridge και Tom Ellson, για να ξεπεράσει έναν περιορισμό ασφαλείας στο Microsoft Teams. Ενώ η πλατφόρμα συνεργασίας επιτρέπει την επικοινωνία μεταξύ χρηστών από διαφορετικούς οργανισμούς, η κοινή χρήση αρχείων είναι περιορισμένη. Ωστόσο, οι Corbridge και Ellson εντόπισαν μια ευπάθεια Insecure Direct Object Reference (IDOR), η οποία τους επέτρεψε να παρακάμψουν αποτελεσματικά αυτόν τον περιορισμό.

Με τον χειρισμό του αναγνωριστικού του εσωτερικού και του εξωτερικού παραλήπτη σε ένα αίτημα POST, ανακάλυψαν ότι ένα ωφέλιμο φορτίο που αποστέλλεται με αυτόν τον τρόπο θα βρίσκεται στον τομέα SharePoint του αποστολέα και θα προσγειώνεται στα εισερχόμενα του Teams του παραλήπτη. Αυτή η ευπάθεια επηρεάζει όλους τους οργανισμούς που χρησιμοποιούν το Teams σε προεπιλεγμένη διαμόρφωση, επιτρέποντας στους εισβολείς να παρακάμψουν μέτρα κατά του phishing και άλλους ελέγχους ασφαλείας. Παρά την αναγνώριση της Microsoft για το ζήτημα, το θεώρησαν ότι δεν αποτελεί άμεση προτεραιότητα για την αποκατάσταση. Ως αποτέλεσμα, οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση και να λάβουν προληπτικά μέτρα για να μετριάσουν αυτόν τον πιθανό κίνδυνο ασφάλειας.

Το εργαλείο TeamsPhisher του Reid συνδυάζει τεχνικές από τις JUMPSEC, Andrea Santese και Secure Systems Engineering GmbH. Αξιοποιεί το TeamsEnum για την απαρίθμηση χρηστών και ενσωματώνει μεθόδους για αρχική πρόσβαση. Το TeamsPhisher επαληθεύει την ικανότητα ενός χρήστη-στόχου να λαμβάνει εξωτερικά μηνύματα και δημιουργεί ένα νέο νήμα για να παραδώσει το μήνυμα απευθείας στα εισερχόμενα, παρακάμπτοντας τη συνηθισμένη οθόνη επιβεβαίωσης. Μόλις ξεκινήσει το νέο νήμα, το μήνυμα και ο σύνδεσμος συνημμένου Sharepoint θα μεταβούν στον χρήστη-στόχο. Μετά την αποστολή του αρχικού μηνύματος, ο αποστολέας μπορεί να δει και να αλληλεπιδράσει με το νήμα που δημιουργήθηκε στο Teams GUI του, αντιμετωπίζοντας οποιεσδήποτε συγκεκριμένες περιπτώσεις είναι απαραίτητο."

Πηγές απευθύνθηκαν στη Microsoft για σχόλια σχετικά με τον αντίκτυπο της κυκλοφορίας του TeamsPhisher στην προσέγγισή τους για την αντιμετώπιση της ευπάθειας που ανακαλύφθηκε, αλλά δεν έχει ληφθεί ακόμη απάντηση. Η JUMPSEC συνέστησε στους οργανισμούς που χρησιμοποιούν το Microsoft Teams να αξιολογήσουν την ανάγκη να ενεργοποιηθεί η επικοινωνία μεταξύ εσωτερικών χρηστών και εξωτερικών ενοικιαστών. "Εάν δεν επικοινωνείτε τακτικά με εξωτερικούς ενοικιαστές στο Teams, συνιστάται να βελτιώσετε τους ελέγχους ασφαλείας σας και να απενεργοποιήσετε εντελώς αυτήν την επιλογή", συμβουλεύει η εταιρεία.