Automaattinen haittaohjelma toimitetaan Microsoft Teams Exploit Toolin kautta
"TeamsPhisher"-niminen työkalu antaa tunkeutumistestajille ja vastustajille mahdollisuuden toimittaa uhkaavia tiedostoja suoraan Teams-käyttäjälle ulkopuolisesta ympäristöstä.
Hyökkääjät voivat nyt käyttää tehokasta TeamsPhisher-työkalua, joka hyödyntää äskettäin paljastettua Microsoft Teamsin haavoittuvuutta. Tämä työkalu tarjoaa saumattoman tavan toimittaa vioittuneet tiedostot tietyille organisaation käyttäjille Teamsin avulla. Hyödyntämällä sisäisten ja ulkoisten Teamsin käyttäjien välisiä viestintäominaisuuksia, hyökkääjät voivat lisätä haitallisia hyötykuormia suoraan uhrien postilaatikoihin ilman tavanomaisia tietojenkalastelu- tai manipulointitaktiikoita. Tämän työkalun saatavuus herättää huolta kohdistettujen hyökkäysten mahdollisuudesta ja korostaa organisaatioiden tärkeyttä vahvistaa turvatoimiaan suojautuakseen tällaisilta uhilta.
Esitiedot ja Modus Operandi
Työkalun kehittäjän, Yhdysvaltain laivaston punaisen tiimin jäsenen Alex Reidin mukaan TeamsPhisher voidaan ohjata lataamaan liite lähettäjän Sharepointiin ja kohdistamaan tiettyyn Teams-käyttäjien luetteloon. Tämä prosessi sisältää työkalun liitteen, viestin ja luettelon kohdekäyttäjistä. TeamsPhisher suorittaa sitten tarvittavat vaiheet suunniteltujen toimien suorittamiseksi.
TeamsPhisher käyttää JUMPSEC Labsin tutkijoiden Max Corbridgen ja Tom Ellsonin äskettäin paljastamaa tekniikkaa Microsoft Teamsin tietoturvarajoitusten voittamiseksi. Vaikka yhteistyöalusta mahdollistaa viestinnän eri organisaatioiden käyttäjien välillä, tiedostojen jakaminen on rajoitettua. Corbridge ja Ellson havaitsivat kuitenkin Insecure Direct Object Reference (IDOR) -haavoittuvuuden, jonka ansiosta he pystyivät ohittamaan tämän rajoituksen tehokkaasti.
Manipuloimalla sisäisen ja ulkoisen vastaanottajan tunnusta POST-pyynnössä, he havaitsivat, että tällä tavalla lähetetty hyötykuorma sijaitsisi lähettäjän SharePoint-toimialueella ja päätyisi vastaanottajan Teamsin postilaatikkoon. Tämä haavoittuvuus vaikuttaa kaikkiin organisaatioihin, jotka käyttävät Teamsia oletuskokoonpanossa, jolloin hyökkääjät voivat kiertää tietojenkalastelun torjuntakeinoja ja muita suojaustoimintoja. Huolimatta siitä, että Microsoft on myöntänyt ongelman, he eivät katsoneet, että se ei ole välitön ensisijainen korjaaminen. Tämän seurauksena organisaatioiden on pysyttävä valppaina ja ryhdyttävä ennakoiviin toimiin tämän mahdollisen turvallisuusriskin vähentämiseksi.
Reidin TeamsPhisher-työkalu yhdistää JUMPSECin, Andrea Santesen ja Secure Systems Engineering GmbH:n tekniikat. Se hyödyntää TeamsEnumia käyttäjien luetteloimiseen ja sisältää menetelmiä alkukäyttöön. TeamsPhisher varmistaa kohdekäyttäjän kyvyn vastaanottaa ulkoisia viestejä ja luo uuden säikeen lähettääkseen viestin suoraan postilaatikkoon ohittaen tavallisen vahvistusnäytön. Kun uusi säie on alkanut, viesti ja Sharepoint-liitelinkki siirtyvät kohdekäyttäjälle. Ensimmäisen viestin lähettämisen jälkeen lähettäjä voi tarkastella luotua säiettä ja olla vuorovaikutuksessa sen kanssa Teams-käyttöliittymässä ja käsitellä tarvittaessa erityistapauksia."
Lähteet ottivat yhteyttä Microsoftiin saadakseen kommenttia TeamsPhisherin julkaisun vaikutuksesta heidän lähestymistapaansa korjata löydetty haavoittuvuus, mutta vastausta ei ole vielä saatu. JUMPSEC on suositellut, että Microsoft Teamsia käyttävät organisaatiot arvioivat sisäisen käyttäjien ja ulkoisten vuokralaisten välisen viestinnän mahdollistamisen tarpeellisuuden. "Jos et säännöllisesti kommunikoi ulkopuolisten vuokralaisten kanssa Teamsissa, on suositeltavaa tehostaa turvavalvontaa ja poistaa tämä vaihtoehto kokonaan käytöstä", yhtiö neuvoi.
Automaattinen haittaohjelma toimitetaan Microsoft Teams Exploit Toolin kautta kuvakaappausta
