Automatizēta ļaunprātīga programmatūra, kas tiek piegādāta, izmantojot Microsoft Teams Exploit Tool

Līdz Chance. gadam Computer Security, Phishing. gadā

Tulkot uz:

Šis rīks, kas nodēvēts par “TeamsPhisher”, ļauj iespiešanās pārbaudītājiem un pretiniekiem piegādāt apdraudošus failus tieši Teams lietotājam no ārējās vides.

Uzbrucējiem tagad ir pieejams spēcīgs TeamsPhisher rīks, kas izmanto nesen atklāto Microsoft Teams ievainojamību. Šis rīks nodrošina nevainojamu veidu, kā piegādāt bojātus failus konkrētiem lietotājiem organizācijā, izmantojot Teams. Izmantojot saziņas iespējas starp iekšējiem un ārējiem Teams lietotājiem, uzbrucēji var tieši ievietot kaitīgas slodzes upuru iesūtnēs, neizmantojot parastās pikšķerēšanas vai sociālās inženierijas taktikas. Šī rīka pieejamība rada bažas par iespējamu pastiprinātu mērķtiecīgu uzbrukumu iespējamību un uzsver, ka organizācijām ir svarīgi stiprināt savus drošības pasākumus, lai aizsargātu pret šādiem draudiem.

Priekšzināšanas un Modus Operandi

Saskaņā ar rīka izstrādātāja Aleksa Rīda, ASV Navy Red Team dalībnieka teikto, TeamsPhisher var uzdot augšupielādēt pielikumu sūtītāja Sharepoint un turpināt atlasīt noteiktu Teams lietotāju sarakstu. Šis process ietver rīka nodrošināšanu ar pielikumu, ziņojumu un mērķa lietotāju sarakstu. Pēc tam TeamsPhisher veiks nepieciešamās darbības, lai veiktu paredzētās darbības.

TeamsPhisher izmanto paņēmienu, ko nesen atklāja JUMPSEC Labs pētnieki Makss Korbridžs un Toms Elsons, lai pārvarētu Microsoft Teams drošības ierobežojumus. Lai gan sadarbības platforma ļauj sazināties starp lietotājiem no dažādām organizācijām, failu koplietošana ir ierobežota. Tomēr Korbridžs un Elsons atklāja nedrošu tiešo objektu atsauces (IDOR) ievainojamību, kas ļāva viņiem efektīvi apiet šo ierobežojumu.

POST pieprasījumā manipulējot ar iekšējā un ārējā adresāta ID, viņi atklāja, ka šādā veidā nosūtītā slodze atrodas sūtītāja SharePoint domēnā un nonāks adresāta Teams iesūtnē. Šī ievainojamība ietekmē visas organizācijas, kas izmanto Teams noklusējuma konfigurācijā, ļaujot uzbrucējiem apiet pretpikšķerēšanas pasākumus un citus drošības kontroles pasākumus. Neskatoties uz to, ka Microsoft ir atzinusi šo problēmu, viņi to nav uzskatījuši par tūlītēju atlīdzināšanas prioritāti. Tā rezultātā organizācijām ir jāsaglabā modrība un jāveic aktīvi pasākumi, lai mazinātu šo iespējamo drošības risku.

Reida TeamsPhisher rīks apvieno JUMPSEC, Andrea Santese un Secure Systems Engineering GmbH metodes. Tas izmanto TeamsEnum lietotāju uzskaitīšanai un ietver sākotnējās piekļuves metodes. TeamsPhisher pārbauda mērķa lietotāja spēju saņemt ārējus ziņojumus un izveido jaunu pavedienu, lai nosūtītu ziņojumu tieši iesūtnē, apejot parasto apstiprinājuma ekrānu. Kad jaunais pavediens ir sācies, ziņojums un Sharepoint pielikuma saite nonāks mērķa lietotājam. Pēc sākotnējā ziņojuma nosūtīšanas sūtītājs var skatīt un mijiedarboties ar izveidoto pavedienu savā Teams GUI, vajadzības gadījumā risinot konkrētos gadījumus.

Avoti sazinājās ar Microsoft, lai sniegtu komentārus par TeamsPhisher laidiena ietekmi uz viņu pieeju atklātās ievainojamības novēršanai, taču atbilde vēl nav saņemta. JUMPSEC ir ieteicis organizācijām, kas izmanto Microsoft Teams, izvērtēt nepieciešamību iespējot saziņu starp iekšējiem lietotājiem un ārējiem nomniekiem. "Ja jūs regulāri nesazināsieties ar ārējiem nomniekiem pakalpojumā Teams, ieteicams uzlabot drošības kontroli un pilnībā atspējot šo opciju," norādīja uzņēmums.