Perisian Hasad Automatik Dihantar melalui Alat Eksploitasi Pasukan Microsoft

Menjelang Chance pada Computer Security, Phishing

Terjemahkan ke

Digelar "TeamsPhisher," alat itu membolehkan penguji penembusan dan musuh menghantar fail mengancam terus kepada pengguna Pasukan dari persekitaran luar.

Penyerang kini mempunyai akses kepada alat " TeamsPhisher " yang berkuasa yang mengeksploitasi kelemahan yang didedahkan baru-baru ini dalam Microsoft Teams. Alat ini menyediakan cara yang lancar untuk menghantar fail yang rosak kepada pengguna tertentu dalam organisasi menggunakan Pasukan. Dengan memanfaatkan keupayaan komunikasi antara pengguna Pasukan dalaman dan luaran, penyerang boleh terus memasukkan muatan berbahaya ke dalam peti masuk mangsa tanpa memerlukan pancingan data konvensional atau taktik kejuruteraan sosial. Ketersediaan alat ini menimbulkan kebimbangan tentang potensi peningkatan serangan yang disasarkan dan menyerlahkan kepentingan organisasi memperkukuh langkah keselamatan mereka untuk melindungi daripada ancaman sedemikian.

Prasyarat dan Modus Operandi

Menurut pembangun alat itu, Alex Reid, ahli Pasukan Merah Tentera Laut AS, TeamsPhisher boleh diarahkan untuk memuat naik lampiran ke Sharepoint penghantar dan meneruskan untuk menyasarkan senarai pengguna Pasukan yang ditentukan. Proses ini melibatkan menyediakan alat dengan lampiran, mesej dan senarai pengguna sasaran. TeamsPhisher kemudiannya akan menjalankan langkah yang perlu untuk melaksanakan tindakan yang dimaksudkan.

TeamsPhisher menggunakan teknik yang baru-baru ini didedahkan oleh penyelidik JUMPSEC Labs Max Corbridge dan Tom Ellson untuk mengatasi had keselamatan dalam Microsoft Teams. Walaupun platform kerjasama membenarkan komunikasi antara pengguna daripada organisasi yang berbeza, perkongsian fail adalah terhad. Walau bagaimanapun, Corbridge dan Ellson mengenal pasti kelemahan Rujukan Objek Langsung Tidak Selamat (IDOR), yang membolehkan mereka memintas sekatan ini dengan berkesan.

Dengan memanipulasi ID penerima dalaman dan luaran dalam permintaan POST, mereka mendapati bahawa muatan yang dihantar dengan cara ini akan berada dalam domain SharePoint penghantar dan tiba di peti masuk Pasukan penerima. Kerentanan ini menjejaskan semua organisasi yang menggunakan Pasukan dalam konfigurasi lalai, membolehkan penyerang memintas langkah anti-pancingan data dan kawalan keselamatan lain. Walaupun Microsoft mengakui isu itu, mereka menganggapnya bukan keutamaan segera untuk pemulihan. Akibatnya, organisasi mesti sentiasa berwaspada dan mengambil langkah proaktif untuk mengurangkan potensi risiko keselamatan ini.

Alat TeamsPhisher Reid menggabungkan teknik daripada JUMPSEC, Andrea Santese dan Secure Systems Engineering GmbH. Ia memanfaatkan TeamsEnum untuk penghitungan pengguna dan menggabungkan kaedah untuk akses awal. TeamsPhisher mengesahkan keupayaan pengguna sasaran untuk menerima mesej luaran dan mencipta urutan baharu untuk menghantar mesej terus ke peti masuk, memintas skrin pengesahan biasa. Setelah urutan baharu dimulakan, mesej dan pautan lampiran Sharepoint akan pergi ke pengguna sasaran. Selepas menghantar mesej awal, pengirim boleh melihat dan berinteraksi dengan urutan yang dibuat dalam GUI Pasukan mereka, menangani sebarang kes tertentu yang perlu."

Sumber menghubungi Microsoft untuk mengulas tentang kesan keluaran TeamsPhisher terhadap pendekatan mereka untuk menangani kelemahan yang ditemui, tetapi respons masih belum diterima. JUMPSEC telah mengesyorkan agar organisasi yang menggunakan Microsoft Teams menilai keperluan untuk membolehkan komunikasi antara pengguna dalaman dan penyewa luaran. "Jika anda tidak kerap berkomunikasi dengan penyewa luar di Teams, adalah dinasihatkan untuk meningkatkan kawalan keselamatan anda dan melumpuhkan pilihan ini sepenuhnya," nasihat syarikat itu.