תוכנה זדונית אוטומטית מסופקת באמצעות Microsoft Teams Exploit Tool

עד Chance ב-Computer Security, Phishing

לתרגם ל:

הכלי המכונה "TeamsPhisher", מאפשר לבודקי חדירה וליריבים להעביר קבצים מאיימים ישירות למשתמש של Teams מסביבה חיצונית.

לתוקפים יש כעת גישה לכלי "TeamsPhisher" רב עוצמה המנצל פגיעות שנחשפה לאחרונה ב-Microsoft Teams. כלי זה מספק דרך חלקה לספק קבצים פגומים למשתמשים ספציפיים בתוך ארגון באמצעות Teams. על ידי ניצול יכולות התקשורת בין משתמשי Teams פנימיים וחיצוניים, התוקפים יכולים להכניס ישירות מטענים מזיקים לתיבות הדואר הנכנס של הקורבנות ללא צורך בטקטיקות דיוג קונבנציונליות או הנדסה חברתית. הזמינות של כלי זה מעוררת חששות לגבי הפוטנציאל להתקפות ממוקדות מוגברות ומדגישה את החשיבות של ארגונים לחזק את אמצעי האבטחה שלהם כדי להגן מפני איומים כאלה.

דרישות קדם ומודוס אופרנדי

לפי מפתח הכלי, אלכס ריד, חבר בצוות האדום של הצי האמריקני, ניתן להורות ל-TeamsPhisher להעלות קובץ מצורף ל-Sharepoint של השולח ולהמשיך לטרגט רשימה מוגדרת של משתמשי Teams. תהליך זה כולל לספק לכלי קובץ מצורף, הודעה ורשימת משתמשי יעד. לאחר מכן TeamsPhisher תבצע את הצעדים הדרושים לביצוע הפעולות המיועדות.

TeamsPhisher משתמש בטכניקה שחשפה לאחרונה חוקרי מעבדות JUMPSEC מקס קורברידג' וטום אלסון כדי להתגבר על מגבלת אבטחה ב-Microsoft Teams. בעוד שפלטפורמת שיתוף הפעולה מאפשרת תקשורת בין משתמשים מארגונים שונים, שיתוף הקבצים מוגבל. עם זאת, Corbridge ו-Elson זיהו פגיעות לא מאובטחת ישירות לאובייקטים (IDOR), מה שאפשרה להם לעקוף את ההגבלה הזו ביעילות.

על ידי מניפולציה של המזהה של הנמען הפנימי והחיצוני בבקשת POST, הם גילו שמטען שנשלח בצורה זו יתגורר בדומיין SharePoint של השולח וינחת בתיבת הדואר הנכנס של הצוותים של הנמען. פגיעות זו משפיעה על כל הארגונים המשתמשים ב-Teams בתצורת ברירת מחדל, ומאפשרת לתוקפים לעקוף אמצעים נגד דיוג ובקרות אבטחה אחרות. למרות ההכרה של מיקרוסופט בבעיה, הם ראו בכך לא עדיפות מיידית לתיקון. כתוצאה מכך, ארגונים חייבים לשמור על ערנות ולנקוט צעדים יזומים כדי להפחית את הסיכון האבטחה הפוטנציאלי הזה.

הכלי TeamsPhisher של ריד משלב טכניקות של JUMPSEC, Andrea Santese ו-Secure Systems Engineering GmbH. הוא ממנף את TeamsEnum לספירת משתמשים ומשלב שיטות לגישה ראשונית. TeamsPhisher מאמת את יכולתו של משתמש יעד לקבל הודעות חיצוניות ויוצר שרשור חדש כדי להעביר את ההודעה ישירות לתיבת הדואר הנכנס, תוך עקיפת מסך האישור הרגיל. לאחר תחילת השרשור החדש, ההודעה והקישור של Sharepoint המצורף יעברו למשתמש היעד. לאחר שליחת ההודעה הראשונית, השולח יכול להציג ולקיים אינטראקציה עם השרשור שנוצר ב-Teams GUI שלו, תוך התייחסות לכל מקרה ספציפי לפי הצורך."

מקורות פנו למיקרוסופט כדי להגיב על ההשפעה של שחרורו של TeamsPhisher על הגישה שלהם לטיפול בפגיעות שהתגלתה, אך טרם התקבלה תגובה. JUMPSEC המליצה לארגונים המשתמשים ב-Microsoft Teams להעריך את הצורך לאפשר תקשורת בין משתמשים פנימיים לדיירים חיצוניים. "אם אינך מתקשר באופן קבוע עם דיירים חיצוניים ב-Teams, מומלץ לשפר את בקרות האבטחה שלך ולהשבית את האפשרות הזו לחלוטין", ייעצה החברה.