Malware automatizzato distribuito tramite lo strumento Exploit di Microsoft Teams

Entro Chance nel Computer Security, Phishing

Traduci in:

Soprannominato "TeamsPhisher", lo strumento consente ai penetration tester e agli avversari di fornire file minacciosi direttamente a un utente di Teams da un ambiente esterno.

Gli aggressori hanno ora accesso a un potente strumento "TeamsPhisher" che sfrutta una vulnerabilità recentemente rivelata in Microsoft Teams. Questo strumento fornisce un modo semplice per consegnare file danneggiati a utenti specifici all'interno di un'organizzazione utilizzando Teams. Sfruttando le capacità di comunicazione tra gli utenti di Teams interni ed esterni, gli aggressori possono inserire direttamente payload dannosi nelle caselle di posta delle vittime senza la necessità di tattiche di phishing o social engineering convenzionali. La disponibilità di questo strumento solleva preoccupazioni sul potenziale aumento degli attacchi mirati e sottolinea l'importanza che le organizzazioni rafforzino le proprie misure di sicurezza per proteggersi da tali minacce.

Prerequisiti e Modus Operandi

Secondo lo sviluppatore dello strumento, Alex Reid, un membro della US Navy Red Team, TeamsPhisher può essere istruito a caricare un allegato sullo Sharepoint del mittente e procedere al targeting di un elenco specifico di utenti di Teams. Questo processo prevede di fornire allo strumento un allegato, un messaggio e un elenco di utenti target. TeamsPhisher eseguirà quindi i passaggi necessari per eseguire le azioni previste.

TeamsPhisher utilizza una tecnica recentemente rivelata dai ricercatori di JUMPSEC Labs Max Corbridge e Tom Ellson per superare una limitazione di sicurezza in Microsoft Teams. Sebbene la piattaforma di collaborazione consenta la comunicazione tra utenti di diverse organizzazioni, la condivisione di file è limitata. Tuttavia, Corbridge ed Ellson hanno identificato una vulnerabilità Insecure Direct Object Reference (IDOR), che ha permesso loro di aggirare questa restrizione in modo efficace.

Manipolando l'ID del destinatario interno ed esterno in una richiesta POST, hanno scoperto che un payload inviato in questo modo risiedeva nel dominio SharePoint del mittente e arrivava nella posta in arrivo di Teams del destinatario. Questa vulnerabilità interessa tutte le organizzazioni che utilizzano Teams in una configurazione predefinita, consentendo agli aggressori di eludere le misure anti-phishing e altri controlli di sicurezza. Nonostante il riconoscimento del problema da parte di Microsoft, non lo hanno ritenuto una priorità immediata per la risoluzione. Di conseguenza, le organizzazioni devono rimanere vigili e adottare misure proattive per mitigare questo potenziale rischio per la sicurezza.

Lo strumento TeamsPhisher di Reid combina le tecniche di JUMPSEC, Andrea Santese e Secure Systems Engineering GmbH. Sfrutta TeamsEnum per l'enumerazione degli utenti e incorpora metodi per l'accesso iniziale. TeamsPhisher verifica la capacità di un utente target di ricevere messaggi esterni e crea un nuovo thread per recapitare il messaggio direttamente nella posta in arrivo, ignorando la consueta schermata di conferma. Una volta avviato il nuovo thread, il messaggio e il collegamento dell'allegato Sharepoint andranno all'utente di destinazione. Dopo aver inviato il messaggio iniziale, il mittente può visualizzare e interagire con il thread creato nella GUI di Teams, affrontando eventuali casi specifici se necessario."

Le fonti hanno contattato Microsoft per un commento sull'impatto del rilascio di TeamsPhisher sul loro approccio per affrontare la vulnerabilità scoperta, ma non è ancora stata ricevuta una risposta. JUMPSEC ha raccomandato alle organizzazioni che utilizzano Microsoft Teams di valutare la necessità di abilitare la comunicazione tra utenti interni e tenant esterni. "Se non comunichi regolarmente con inquilini esterni su Teams, è consigliabile migliorare i controlli di sicurezza e disabilitare completamente questa opzione", ha consigliato la società.