Automatizuota kenkėjiška programa, pristatyta naudojant „Microsoft Teams Exploit Tool“.

Autorius Chance, Computer Security, Phishing

Versti į:

Įrankis, pavadintas „TeamsPhisher“, leidžia įsiskverbimo tikrintojams ir priešininkams pateikti grėsmingus failus tiesiai Teams vartotojui iš išorinės aplinkos.

Užpuolikai dabar turi prieigą prie galingo „TeamsPhisher“ įrankio, kuris išnaudoja neseniai atskleistą „Microsoft Teams“ pažeidžiamumą. Šis įrankis suteikia galimybę sklandžiai pristatyti sugadintus failus konkretiems organizacijos naudotojams naudojant Teams. Pasinaudodami komunikacijos tarp vidinių ir išorinių Teams vartotojų galimybėmis, užpuolikai gali tiesiogiai įterpti kenksmingus krovinius į aukų pašto dėžutes, nereikalaujant įprastų sukčiavimo ar socialinės inžinerijos taktikos. Šio įrankio prieinamumas kelia susirūpinimą dėl padidėjusių tikslinių atakų galimybių ir pabrėžia, kaip svarbu, kad organizacijos sustiprintų savo saugumo priemones, skirtas apsisaugoti nuo tokių grėsmių.

Būtinos sąlygos ir Modus Operandi

Pasak įrankio kūrėjo Alexo Reido, JAV karinio jūrų laivyno raudonosios komandos nario, „TeamsPhisher“ gali būti nurodyta įkelti priedą į siuntėjo „Sharepoint“ ir pradėti taikyti nurodytą „Teams“ naudotojų sąrašą. Šis procesas apima įrankio priedą, pranešimą ir tikslinių vartotojų sąrašą. Tada TeamsPhisher atliks reikiamus veiksmus, kad būtų atlikti numatyti veiksmai.

TeamsPhisher naudoja techniką, kurią neseniai atskleidė JUMPSEC Labs tyrėjai Maxas Corbridge'as ir Tomas Ellsonas, kad įveiktų Microsoft Teams saugumo apribojimus. Nors bendradarbiavimo platforma leidžia bendrauti tarp vartotojų iš skirtingų organizacijų, failų bendrinimas yra ribojamas. Tačiau Corbridge ir Ellson nustatė nesaugų tiesioginių objektų nuorodos (IDOR) pažeidžiamumą, dėl kurio jie galėjo veiksmingai apeiti šį apribojimą.

Manipuliuodami vidinio ir išorinio gavėjo ID POST užklausoje, jie atrado, kad tokiu būdu išsiųstas naudingas krovinys bus siuntėjo SharePoint domene ir pateks į gavėjo komandų gautuosius. Šis pažeidžiamumas turi įtakos visoms organizacijoms, naudojančioms Teams pagal numatytąją konfigūraciją, todėl užpuolikai gali apeiti apsaugos nuo sukčiavimo priemones ir kitus saugos valdiklius. Nepaisant to, kad „Microsoft“ šią problemą pripažino, jie manė, kad tai nėra tiesioginis ištaisymo prioritetas. Dėl to organizacijos turi išlikti budrios ir imtis aktyvių priemonių, kad sumažintų šią galimą saugumo riziką.

Reid's TeamsPhisher įrankis sujungia JUMPSEC, Andrea Santese ir Secure Systems Engineering GmbH technologijas. Jis naudoja TeamsEnum vartotojų surašymui ir apima pradinės prieigos metodus. TeamsPhisher patikrina tikslinio vartotojo gebėjimą gauti išorinius pranešimus ir sukuria naują giją, kad išsiųstų pranešimą tiesiai į gautuosius, apeinant įprastą patvirtinimo ekraną. Pradėjus naują giją, pranešimas ir Sharepoint priedo nuoroda bus nukreipti į tikslinį vartotoją. Išsiuntęs pradinį pranešimą, siuntėjas gali peržiūrėti sukurtą giją ir su ja bendrauti savo Teams GUI, prireikus spręsdamas bet kokius konkrečius atvejus.

Šaltiniai susisiekė su „Microsoft“, norėdami pakomentuoti „TeamsPhisher“ leidimo poveikį jų požiūriui į aptikto pažeidžiamumo šalinimą, tačiau atsakymo dar negauta. JUMPSEC rekomendavo organizacijoms, naudojančioms „Microsoft Teams“, įvertinti būtinybę įgalinti bendravimą tarp vidinių vartotojų ir išorinių nuomininkų. „Jei nuolat nebendraujate su išoriniais nuomininkais „Teams“, patartina sustiprinti saugos kontrolę ir visiškai išjungti šią parinktį“, – patarė bendrovė.