Automatiseeritud pahavara, mis tarnitakse Microsoft Teams Exploit Tooli kaudu

Aastaks Chance aastal Computer Security, Phishing

Tõlgi:

"TeamsPhisheriks" nimetatud tööriist võimaldab tungimise testijatel ja vastastel edastada ähvardavaid faile väliskeskkonnast otse Teamsi kasutajale.

Ründajatel on nüüd juurdepääs võimsale TeamsPhisheri tööriistale, mis kasutab Microsoft Teamsi hiljuti avalikustatud haavatavust. See tööriist pakub sujuvat viisi rikutud failide edastamiseks kindlatele kasutajatele organisatsioonis Teamsi kasutades. Kasutades ära Teamsi sise- ja väliskasutajate vahelise suhtlusvõimaluse, saavad ründajad otse ohvrite postkasti sisestada kahjulikke koormusi, ilma et oleks vaja kasutada tavalisi andmepüügi- või sotsiaalse manipuleerimise taktikaid. Selle tööriista kättesaadavus tekitab muret sihitud rünnakute arvu suurenemise pärast ja rõhutab, kui oluline on, et organisatsioonid tugevdaksid oma turvameetmeid, et kaitsta end selliste ohtude eest.

Eeldused ja Modus Operandi

Tööriista arendaja, USA mereväe punase meeskonna liikme Alex Reidi sõnul saab TeamsPhisherit juhendada, et ta laadiks üles manuse saatja Sharepointi ja jätkaks määratud Teamsi kasutajate loendi sihtimist. See protsess hõlmab tööriistale manuse, sõnumi ja sihtkasutajate loendi lisamist. Seejärel teeb TeamsPhisher kavandatud toimingute tegemiseks vajalikud toimingud.

TeamsPhisher kasutab Microsoft Teamsi turvapiirangutest ülesaamiseks JUMPSEC Labsi teadlaste Max Corbridge'i ja Tom Ellsoni hiljuti avaldatud tehnikat. Kuigi koostööplatvorm võimaldab suhelda erinevate organisatsioonide kasutajate vahel, on failide jagamine piiratud. Corbridge ja Ellson tuvastasid aga ebaturvalise otseobjektiviite (IDOR) haavatavuse, mis võimaldas neil sellest piirangust tõhusalt mööda minna.

POST-päringus sisemise ja välise adressaadi ID-ga manipuleerides avastasid nad, et sel viisil saadetud kasulik koormus asuks saatja SharePointi domeenis ja maandub adressaadi Teamsi postkasti. See haavatavus mõjutab kõiki organisatsioone, kes kasutavad Teamsi vaikekonfiguratsioonis, võimaldades ründajatel andmepüügivastastest meetmetest ja muudest turvakontrollidest mööda hiilida. Vaatamata sellele, et Microsoft on probleemi tunnistanud, ei ole nad pidanud seda esmaseks lahendamise prioriteediks. Seetõttu peavad organisatsioonid jääma valvsaks ja võtma ennetavaid meetmeid selle võimaliku turvariski maandamiseks.

Reidi TeamsPhisheri tööriist ühendab JUMPSECi, Andrea Santese ja Secure Systems Engineering GmbH tehnikaid. See kasutab TeamsEnumi kasutajate loendamiseks ja sisaldab meetodeid esialgseks juurdepääsuks. TeamsPhisher kontrollib sihtkasutaja võimet välisteateid vastu võtta ja loob uue lõime, et edastada sõnum otse postkasti, möödudes tavapärasest kinnituskuvast. Kui uus lõim on alanud, suunatakse sõnum ja Sharepointi manuse link sihtkasutajale. Pärast esialgse sõnumi saatmist saab saatja oma Teamsi GUI-s loodud lõime vaadata ja sellega suhelda, käsitledes vajaduse korral konkreetseid juhtumeid.

Allikad pöördusid Microsofti poole, et kommenteerida TeamsPhisheri väljalaske mõju nende lähenemisviisile avastatud haavatavusega tegelemisel, kuid vastust pole veel laekunud. JUMPSEC on soovitanud Microsoft Teamsi kasutavatel organisatsioonidel hinnata sisekasutajate ja välisrentnike vahelise suhtluse võimaldamise vajadust. "Kui te Teamsis väliste rentnikega regulaarselt ei suhtle, on soovitatav oma turvakontrolli tõhustada ja see valik täielikult keelata," soovitas ettevõte.