بدافزار خودکار ارائه شده از طریق Microsoft Teams Exploit Tool
این ابزار که «TeamsPhisher» نام دارد، به آزمایشکنندگان نفوذ و دشمنان امکان میدهد فایلهای تهدیدکننده را مستقیماً از یک محیط بیرونی به کاربر Teams تحویل دهند.
مهاجمان اکنون به ابزار قدرتمند "TeamsPhisher" دسترسی دارند که از یک آسیب پذیری اخیرا فاش شده در تیم های مایکروسافت سوء استفاده می کند. این ابزار با استفاده از Teams راهی بدون درز برای ارائه فایل های خراب به کاربران خاص در سازمان ارائه می دهد. مهاجمان با بهرهگیری از قابلیتهای ارتباطی بین کاربران داخلی و خارجی تیمها، میتوانند مستقیماً محمولههای مضر را بدون نیاز به تاکتیکهای فیشینگ یا مهندسی اجتماعی وارد صندوق ورودی قربانیان کنند. در دسترس بودن این ابزار نگرانیهایی را در مورد احتمال افزایش حملات هدفمند ایجاد میکند و اهمیت سازمانها را برای تقویت اقدامات امنیتی خود برای محافظت در برابر چنین تهدیداتی برجسته میکند.
پیش نیازها و Modus Operandi
به گفته توسعهدهنده این ابزار، الکس رید، عضو تیم قرمز نیروی دریایی ایالات متحده، میتوان به TeamsPhisher دستور داد تا پیوستی را در Sharepoint فرستنده آپلود کند و لیست مشخصی از کاربران Teams را هدف قرار دهد. این فرآیند شامل ارائه ابزار با پیوست، پیام و فهرستی از کاربران هدف است. سپس TeamsPhisher مراحل لازم را برای اجرای اقدامات مورد نظر انجام خواهد داد.
TeamsPhisher از تکنیکی استفاده می کند که اخیراً توسط محققان آزمایشگاه JUMPSEC، Max Corbridge و Tom Ellson برای غلبه بر محدودیت امنیتی در تیم های مایکروسافت فاش شده است. در حالی که پلت فرم همکاری اجازه ارتباط بین کاربران از سازمانهای مختلف را میدهد، اشتراکگذاری فایل محدود شده است. با این حال، کوربریج و السون یک آسیبپذیری ناامن مرجع مستقیم شیء (IDOR) را شناسایی کردند که به آنها اجازه داد تا این محدودیت را به طور موثر دور بزنند.
با دستکاری شناسه گیرنده داخلی و خارجی در یک درخواست POST، آنها متوجه شدند که یک بار ارسال شده به این روش در دامنه شیرپوینت فرستنده قرار می گیرد و در صندوق ورودی تیم های گیرنده قرار می گیرد. این آسیبپذیری همه سازمانهایی را که از Teams در یک پیکربندی پیشفرض استفاده میکنند، تحت تأثیر قرار میدهد و مهاجمان را قادر میسازد تا اقدامات ضد فیشینگ و سایر کنترلهای امنیتی را دور بزنند. علیرغم اذعان مایکروسافت به این مشکل، آنها آن را یک اولویت فوری برای اصلاح نمی دانند. در نتیجه، سازمان ها باید هوشیار باشند و اقدامات پیشگیرانه ای را برای کاهش این خطر امنیتی بالقوه انجام دهند.
ابزار Reid's TeamsPhisher تکنیک های JUMPSEC، Andrea Santese و Secure Systems Engineering GmbH را ترکیب می کند. از TeamsEnum برای شمارش کاربران استفاده می کند و روش هایی را برای دسترسی اولیه به کار می گیرد. TeamsPhisher توانایی کاربر هدف برای دریافت پیامهای خارجی را تأیید میکند و یک رشته جدید برای ارسال مستقیم پیام به صندوق ورودی، با دور زدن صفحه تأیید معمول ایجاد میکند. پس از شروع موضوع جدید، پیام و پیوند پیوست شیرپوینت به کاربر مورد نظر میرود. پس از ارسال پیام اولیه، فرستنده می تواند موضوع ایجاد شده را در Teams GUI خود مشاهده کرده و با آن تعامل داشته باشد و در صورت لزوم به موارد خاص رسیدگی کند."
منابعی با مایکروسافت تماس گرفتند تا درباره تأثیر انتشار TeamsPhisher بر رویکرد آنها برای رسیدگی به آسیبپذیری کشف شده نظر دهند، اما هنوز پاسخی دریافت نشده است. JUMPSEC توصیه میکند که سازمانهایی که از تیمهای مایکروسافت استفاده میکنند، ضرورت برقراری ارتباط بین کاربران داخلی و مستاجران خارجی را ارزیابی کنند. این شرکت توصیه کرد: «اگر به طور منظم با مستاجران خارجی در Teams ارتباط برقرار نمیکنید، توصیه میشود کنترلهای امنیتی خود را افزایش داده و این گزینه را به طور کامل غیرفعال کنید.