Automatizált rosszindulatú program a Microsoft Teams Exploit Tool segítségével

Chance -ra Computer Security, Phishing-ben

Fordítás ide:

A "TeamsPhisher" névre keresztelt eszköz lehetővé teszi a behatolást tesztelők és az ellenfelek számára, hogy fenyegető fájlokat küldjenek közvetlenül a Teams-felhasználóknak egy külső környezetből.

A támadók mostantól hozzáférhetnek egy hatékony TeamsPhisher eszközhöz, amely kihasználja a Microsoft Teams nemrégiben feltárt sebezhetőségét. Ez az eszköz zökkenőmentes módot biztosít a sérült fájlok zökkenőmentes átadására a szervezeten belül a Teams használatával. A belső és külső Teams-felhasználók közötti kommunikációs lehetőségek kihasználásával a támadók közvetlenül beilleszthetik a káros anyagokat az áldozatok postaládájába, anélkül, hogy hagyományos adathalász vagy közösségi manipulációs taktikákra lenne szükségük. Ennek az eszköznek a rendelkezésre állása aggályokat vet fel a megnövekedett célzott támadások lehetőségével kapcsolatban, és rávilágít annak fontosságára, hogy a szervezetek megerősítsék biztonsági intézkedéseiket az ilyen fenyegetések elleni védelem érdekében.

Előfeltételek és Modus Operandi

Az eszköz fejlesztője, Alex Reid, a US Navy Red Team tagja szerint a TeamsPhisher utasítható, hogy töltsön fel egy mellékletet a küldő Sharepointjába, és folytassa a Teams-felhasználók meghatározott listájának megcélzását. Ez a folyamat magában foglalja az eszközt egy melléklettel, egy üzenettel és a célfelhasználók listájával. A TeamsPhisher ezután elvégzi a szükséges lépéseket a tervezett műveletek végrehajtásához.

A TeamsPhisher a JUMPSEC Labs kutatói, Max Corbridge és Tom Ellson által nemrégiben feltárt technikát alkalmaz a Microsoft Teams biztonsági korlátainak leküzdésére. Míg az együttműködési platform lehetővé teszi a kommunikációt a különböző szervezetek felhasználói között, a fájlmegosztás korlátozott. Corbridge és Ellson azonban azonosított egy Insecure Direct Object Reference (IDOR) biztonsági rést, amely lehetővé tette számukra a korlátozás hatékony megkerülését.

A belső és külső címzett azonosítójának POST-kérésben történő manipulálásával felfedezték, hogy az így küldött hasznos teher a feladó SharePoint-tartományában fog tartózkodni, és a címzett csapatok beérkező levelei közé kerül. Ez a biztonsági rés minden olyan szervezetet érint, amely alapértelmezett konfigurációban használja a Teams szolgáltatást, lehetővé téve a támadók számára, hogy megkerüljék az adathalászat elleni intézkedéseket és más biztonsági vezérlőket. Annak ellenére, hogy a Microsoft elismerte a problémát, úgy ítélték meg, hogy ez nem azonnali prioritás a helyreállításhoz. Ennek eredményeként a szervezeteknek ébernek kell maradniuk, és proaktív intézkedéseket kell tenniük ennek a potenciális biztonsági kockázatnak a csökkentése érdekében.

A Reid TeamsPhisher eszköze a JUMPSEC, Andrea Santese és a Secure Systems Engineering GmbH technikáit egyesíti. Használja ki a TeamsEnumot a felhasználók számbavételéhez, és magában foglalja a kezdeti hozzáférési módszereket is. A TeamsPhisher ellenőrzi, hogy a célfelhasználó képes-e külső üzeneteket fogadni, és egy új szálat hoz létre, amely az üzenetet közvetlenül a beérkező levelek mappába juttatja, megkerülve a szokásos megerősítő képernyőt. Miután az új szál elindult, az üzenet és a Sharepoint melléklet hivatkozása a célfelhasználóhoz kerül. A kezdeti üzenet elküldése után a küldő megtekintheti a létrehozott szálat, és interakcióba léphet vele a Teams grafikus felületén, és szükség szerint kezelheti a konkrét eseteket."

A források megkeresték a Microsoftot, hogy kommentálják a TeamsPhisher kiadásának a felfedezett sérülékenység megoldására gyakorolt hatását, de válasz még nem érkezett. A JUMPSEC azt javasolta, hogy a Microsoft Teams szolgáltatást használó szervezetek mérjék fel a belső felhasználók és a külső bérlők közötti kommunikáció engedélyezésének szükségességét. "Ha nem kommunikál rendszeresen a Teams külső bérlőivel, tanácsos javítani a biztonsági ellenőrzéseken, és teljesen letiltani ezt a lehetőséget" - tanácsolta a cég.