Microsoft Teams Exploit Tool을 통해 전달된 자동화된 맬웨어

Computer Security, Phishing년에 Chance 년까지

번역 :

"TeamsPhisher"라고 불리는 이 도구를 사용하면 침투 테스터와 공격자가 외부 환경에서 Teams 사용자에게 위협 파일을 직접 전달할 수 있습니다.

이제 공격자는 Microsoft Teams에서 최근 공개된 취약점을 악용하는 강력한 "TeamsPhisher" 도구에 액세스할 수 있습니다. 이 도구는 Teams를 사용하는 조직 내의 특정 사용자에게 손상된 파일을 원활하게 제공하는 방법을 제공합니다. 공격자는 내부 및 외부 Teams 사용자 간의 통신 기능을 활용하여 기존의 피싱 또는 사회 공학 전술 없이도 피해자의 받은 편지함에 유해한 페이로드를 직접 삽입할 수 있습니다. 이 도구의 가용성은 표적 공격이 증가할 가능성에 대한 우려를 제기하고 조직이 이러한 위협으로부터 보호하기 위해 보안 조치를 강화하는 것이 중요함을 강조합니다.

전제 조건 및 작업 방식

이 도구의 개발자인 미 해군 레드 팀 멤버인 Alex Reid에 따르면 TeamsPhisher는 보낸 사람의 Sharepoint에 첨부 파일을 업로드하고 지정된 Teams 사용자 목록을 대상으로 진행하도록 지시받을 수 있습니다. 이 프로세스에는 도구에 첨부 파일, 메시지 및 대상 사용자 목록을 제공하는 작업이 포함됩니다. 그런 다음 TeamsPhisher는 의도한 작업을 실행하는 데 필요한 단계를 수행합니다.

TeamsPhisher는 JUMPSEC Labs 연구원인 Max Corbridge와 Tom Ellson이 최근 공개한 기술을 활용하여 Microsoft Teams의 보안 한계를 극복합니다. 협업 플랫폼은 서로 다른 조직의 사용자 간의 통신을 허용하지만 파일 공유는 제한됩니다. 그러나 Corbridge와 Ellson은 이 제한을 효과적으로 우회할 수 있는 안전하지 않은 IDOR(Direct Object Reference) 취약점을 식별했습니다.

POST 요청에서 내부 및 외부 수신자의 ID를 조작하여 이러한 방식으로 전송된 페이로드가 발신자의 SharePoint 도메인에 상주하고 수신자의 Teams 받은 편지함에 도착한다는 사실을 발견했습니다. 이 취약성은 기본 구성에서 Teams를 사용하는 모든 조직에 영향을 미치므로 공격자가 피싱 방지 조치 및 기타 보안 제어를 우회할 수 있습니다. Microsoft가 이 문제를 인정했음에도 불구하고 문제 해결을 위한 즉각적인 우선 순위는 아니라고 간주했습니다. 결과적으로 조직은 경계를 유지하고 이 잠재적인 보안 위험을 완화하기 위한 사전 조치를 취해야 합니다.

Reid의 TeamsPhisher 도구는 JUMPSEC, Andrea Santese 및 Secure Systems Engineering GmbH의 기술을 결합합니다. 사용자 열거를 위해 TeamsEnum을 활용하고 초기 액세스를 위한 방법을 통합합니다. TeamsPhisher는 외부 메시지를 수신할 수 있는 대상 사용자의 능력을 확인하고 일반적인 확인 화면을 우회하여 받은 편지함에 직접 메시지를 전달하는 새 스레드를 생성합니다. 새 스레드가 시작되면 메시지와 Sharepoint 첨부 파일 링크가 대상 사용자에게 전달됩니다. 초기 메시지를 보낸 후 보낸 사람은 Teams GUI에서 생성된 스레드를 보고 상호 작용하여 필요에 따라 특정 사례를 처리할 수 있습니다."

소식통은 TeamsPhisher의 릴리스가 발견된 취약점을 해결하기 위한 접근 방식에 미치는 영향에 대해 Microsoft에 연락했지만 아직 응답을 받지 못했습니다. JUMPSEC는 Microsoft Teams를 사용하는 조직이 내부 사용자와 외부 테넌트 간의 통신 활성화 필요성을 평가할 것을 권장했습니다. 회사는 "팀즈에서 외부 테넌트와 정기적으로 소통하지 않는다면 보안 통제를 강화하고 이 옵션을 완전히 비활성화하는 것이 바람직하다"고 조언했다.