بدافزار خودکار ارائه شده از طریق Microsoft Teams Exploit Tool

تا Chance در Computer Security, Phishing

ترجمه به:

این ابزار که «TeamsPhisher» نام دارد، به آزمایش‌کنندگان نفوذ و دشمنان امکان می‌دهد فایل‌های تهدیدکننده را مستقیماً از یک محیط بیرونی به کاربر Teams تحویل دهند.

مهاجمان اکنون به ابزار قدرتمند "TeamsPhisher" دسترسی دارند که از یک آسیب پذیری اخیرا فاش شده در تیم های مایکروسافت سوء استفاده می کند. این ابزار با استفاده از Teams راهی بدون درز برای ارائه فایل های خراب به کاربران خاص در سازمان ارائه می دهد. مهاجمان با بهره‌گیری از قابلیت‌های ارتباطی بین کاربران داخلی و خارجی تیم‌ها، می‌توانند مستقیماً محموله‌های مضر را بدون نیاز به تاکتیک‌های فیشینگ یا مهندسی اجتماعی وارد صندوق ورودی قربانیان کنند. در دسترس بودن این ابزار نگرانی‌هایی را در مورد احتمال افزایش حملات هدفمند ایجاد می‌کند و اهمیت سازمان‌ها را برای تقویت اقدامات امنیتی خود برای محافظت در برابر چنین تهدیداتی برجسته می‌کند.

پیش نیازها و Modus Operandi

به گفته توسعه‌دهنده این ابزار، الکس رید، عضو تیم قرمز نیروی دریایی ایالات متحده، می‌توان به TeamsPhisher دستور داد تا پیوستی را در Sharepoint فرستنده آپلود کند و لیست مشخصی از کاربران Teams را هدف قرار دهد. این فرآیند شامل ارائه ابزار با پیوست، پیام و فهرستی از کاربران هدف است. سپس TeamsPhisher مراحل لازم را برای اجرای اقدامات مورد نظر انجام خواهد داد.

TeamsPhisher از تکنیکی استفاده می کند که اخیراً توسط محققان آزمایشگاه JUMPSEC، Max Corbridge و Tom Ellson برای غلبه بر محدودیت امنیتی در تیم های مایکروسافت فاش شده است. در حالی که پلت فرم همکاری اجازه ارتباط بین کاربران از سازمان‌های مختلف را می‌دهد، اشتراک‌گذاری فایل محدود شده است. با این حال، کوربریج و السون یک آسیب‌پذیری ناامن مرجع مستقیم شیء (IDOR) را شناسایی کردند که به آنها اجازه داد تا این محدودیت را به طور موثر دور بزنند.

با دستکاری شناسه گیرنده داخلی و خارجی در یک درخواست POST، آنها متوجه شدند که یک بار ارسال شده به این روش در دامنه شیرپوینت فرستنده قرار می گیرد و در صندوق ورودی تیم های گیرنده قرار می گیرد. این آسیب‌پذیری همه سازمان‌هایی را که از Teams در یک پیکربندی پیش‌فرض استفاده می‌کنند، تحت تأثیر قرار می‌دهد و مهاجمان را قادر می‌سازد تا اقدامات ضد فیشینگ و سایر کنترل‌های امنیتی را دور بزنند. علیرغم اذعان مایکروسافت به این مشکل، آنها آن را یک اولویت فوری برای اصلاح نمی دانند. در نتیجه، سازمان ها باید هوشیار باشند و اقدامات پیشگیرانه ای را برای کاهش این خطر امنیتی بالقوه انجام دهند.

ابزار Reid's TeamsPhisher تکنیک های JUMPSEC، Andrea Santese و Secure Systems Engineering GmbH را ترکیب می کند. از TeamsEnum برای شمارش کاربران استفاده می کند و روش هایی را برای دسترسی اولیه به کار می گیرد. TeamsPhisher توانایی کاربر هدف برای دریافت پیام‌های خارجی را تأیید می‌کند و یک رشته جدید برای ارسال مستقیم پیام به صندوق ورودی، با دور زدن صفحه تأیید معمول ایجاد می‌کند. پس از شروع موضوع جدید، پیام و پیوند پیوست شیرپوینت به کاربر مورد نظر می‌رود. پس از ارسال پیام اولیه، فرستنده می تواند موضوع ایجاد شده را در Teams GUI خود مشاهده کرده و با آن تعامل داشته باشد و در صورت لزوم به موارد خاص رسیدگی کند."

منابعی با مایکروسافت تماس گرفتند تا درباره تأثیر انتشار TeamsPhisher بر رویکرد آنها برای رسیدگی به آسیب‌پذیری کشف شده نظر دهند، اما هنوز پاسخی دریافت نشده است. JUMPSEC توصیه می‌کند که سازمان‌هایی که از تیم‌های مایکروسافت استفاده می‌کنند، ضرورت برقراری ارتباط بین کاربران داخلی و مستاجران خارجی را ارزیابی کنند. این شرکت توصیه کرد: «اگر به طور منظم با مستاجران خارجی در Teams ارتباط برقرار نمی‌کنید، توصیه می‌شود کنترل‌های امنیتی خود را افزایش داده و این گزینه را به طور کامل غیرفعال کنید.