Automatizirani zlonamjerni softver isporučen putem Microsoft Teams alata za iskorištavanje

Do Chance. Computer Security, Phishing. godine

Prevedi na:

Nazvan "TeamsPhisher", alat omogućuje ispitivačima prodora i protivnicima da isporuče prijeteće datoteke izravno Teams korisniku iz vanjskog okruženja.

Napadači sada imaju pristup moćnom alatu " TeamsPhisher " koji iskorištava nedavno otkrivenu ranjivost u Microsoft Teamsu. Ovaj alat pruža besprijekoran način za isporuku oštećenih datoteka određenim korisnicima unutar organizacije pomoću Teamsa. Iskorištavanjem komunikacijskih mogućnosti između unutarnjih i vanjskih korisnika Teamsa, napadači mogu izravno umetnuti štetne sadržaje u pretince ulazne pošte žrtava bez potrebe za uobičajenim taktikama krađe identiteta ili socijalnog inženjeringa. Dostupnost ovog alata izaziva zabrinutost zbog mogućnosti povećanih ciljanih napada i naglašava važnost jačanja sigurnosnih mjera organizacija za zaštitu od takvih prijetnji.

Preduvjeti i način rada

Prema developeru alata, Alexu Reidu, članu US Navy Red Teama, TeamsPhisher može dobiti upute da prenese privitak na pošiljateljev Sharepoint i nastavi ciljati određeni popis Teams korisnika. Ovaj proces uključuje davanje privitka, poruke i popisa ciljanih korisnika alatu. TeamsPhisher će zatim provesti potrebne korake za izvršenje predviđenih radnji.

TeamsPhisher koristi tehniku koju su nedavno otkrili istraživači JUMPSEC Labsa Max Corbridge i Tom Ellson za prevladavanje sigurnosnog ograničenja u Microsoft Teamsu. Iako platforma za suradnju dopušta komunikaciju između korisnika iz različitih organizacija, dijeljenje datoteka je ograničeno. Međutim, Corbridge i Ellson identificirali su ranjivost Insecure Direct Object Reference (IDOR), koja im je omogućila da učinkovito zaobiđu ovo ograničenje.

Manipuliranjem ID-a unutarnjeg i vanjskog primatelja u POST zahtjevu, otkrili su da bi sadržaj poslan na ovaj način boravio u SharePoint domeni pošiljatelja i sletio u primateljevu pristiglu poštu Teams. Ova ranjivost utječe na sve organizacije koje koriste Teams u zadanoj konfiguraciji, omogućujući napadačima da zaobiđu mjere protiv krađe identiteta i druge sigurnosne kontrole. Unatoč tome što je Microsoft priznao problem, oni ga smatraju neposrednim prioritetom za sanaciju. Kao rezultat toga, organizacije moraju ostati na oprezu i poduzeti proaktivne mjere za ublažavanje ovog potencijalnog sigurnosnog rizika.

Reidov alat TeamsPhisher kombinira tehnike JUMPSEC-a, Andrea Santesea i Secure Systems Engineering GmbH. Iskorištava TeamsEnum za popis korisnika i uključuje metode za početni pristup. TeamsPhisher provjerava sposobnost ciljanog korisnika da prima vanjske poruke i stvara novu nit za isporuku poruke izravno u pristiglu poštu, zaobilazeći uobičajeni zaslon za potvrdu. Nakon što se započne nova nit, poruka i poveznica za Sharepoint privitak otići će ciljnom korisniku. Nakon slanja početne poruke, pošiljatelj može pregledavati stvorenu nit i komunicirati s njom u svojem GUI-ju Teams, rješavajući sve specifične slučajeve prema potrebi."

Izvori su se obratili Microsoftu za komentar o utjecaju izdanja TeamsPhishera na njihov pristup rješavanju otkrivene ranjivosti, ali odgovor još nije primljen. JUMPSEC je preporučio da organizacije koje koriste Microsoft Teams procijene nužnost omogućavanja komunikacije između internih korisnika i vanjskih stanara. "Ako ne komunicirate redovito s vanjskim stanarima na Teamsu, preporučljivo je poboljšati svoje sigurnosne kontrole i u potpunosti onemogućiti ovu opciju", savjetuje tvrtka.