Automatisert skadelig programvare levert via Microsoft Teams Exploit Tool
Kalt "TeamsPhisher," verktøyet gjør det mulig for penetrasjonstestere og motstandere å levere truende filer direkte til en Teams-bruker fra et eksternt miljø.
Angripere har nå tilgang til et kraftig "TeamsPhisher"-verktøy som utnytter en nylig avslørt sårbarhet i Microsoft Teams. Dette verktøyet gir en sømløs måte å levere ødelagte filer til spesifikke brukere i en organisasjon som bruker Teams. Ved å dra nytte av kommunikasjonsmulighetene mellom interne og eksterne Teams-brukere, kan angripere sette inn skadelige nyttelaster direkte i ofrenes innbokser uten behov for konvensjonell phishing eller sosial ingeniør-taktikk. Tilgjengeligheten av dette verktøyet vekker bekymring for potensialet for økte målrettede angrep og understreker viktigheten av at organisasjoner styrker sine sikkerhetstiltak for å beskytte mot slike trusler.
Forkunnskaper og Modus Operandi
I følge utvikleren av verktøyet, Alex Reid, et medlem av US Navy Red Team, kan TeamsPhisher bli instruert om å laste opp et vedlegg til avsenderens Sharepoint og fortsette å målrette mot en spesifisert liste over Teams-brukere. Denne prosessen innebærer å gi verktøyet et vedlegg, en melding og en liste over målbrukere. TeamsPhisher vil deretter utføre de nødvendige trinnene for å utføre de tiltenkte handlingene.
TeamsPhisher bruker en teknikk som nylig ble avslørt av JUMPSEC Labs-forskerne Max Corbridge og Tom Ellson for å overvinne en sikkerhetsbegrensning i Microsoft Teams. Mens samarbeidsplattformen tillater kommunikasjon mellom brukere fra forskjellige organisasjoner, er fildeling begrenset. Imidlertid identifiserte Corbridge og Ellson et Insecure Direct Object Reference (IDOR)-sårbarhet, som gjorde det mulig for dem å omgå denne begrensningen effektivt.
Ved å manipulere ID-en til den interne og eksterne mottakeren i en POST-forespørsel, oppdaget de at en nyttelast sendt på denne måten ville ligge i avsenderens SharePoint-domene og lande på mottakerens Teams-innboks. Dette sikkerhetsproblemet påvirker alle organisasjoner som bruker Teams i en standardkonfigurasjon, slik at angripere kan omgå anti-phishing-tiltak og andre sikkerhetskontroller. Til tross for Microsofts erkjennelse av problemet, har de ansett at det ikke er en umiddelbar prioritet for utbedring. Som et resultat må organisasjoner være på vakt og ta proaktive tiltak for å redusere denne potensielle sikkerhetsrisikoen.
Reids TeamsPhisher-verktøy kombinerer teknikker fra JUMPSEC, Andrea Santese og Secure Systems Engineering GmbH. Den utnytter TeamsEnum for brukeroppregning og inkorporerer metoder for førstegangstilgang. TeamsPhisher verifiserer en målbrukers evne til å motta eksterne meldinger og oppretter en ny tråd for å levere meldingen direkte til innboksen, og omgå den vanlige bekreftelsesskjermen. Når den nye tråden har startet, vil meldingen og Sharepoint-vedleggslenken gå til målbrukeren. Etter å ha sendt den første meldingen, kan avsenderen se og samhandle med den opprettede tråden i Teams GUI, og adressere eventuelle spesifikke tilfeller etter behov."
Kilder tok kontakt med Microsoft for å kommentere virkningen av TeamsPhishers utgivelse på deres tilnærming til å håndtere det oppdagede sårbarheten, men et svar har ennå ikke mottatt. JUMPSEC har anbefalt at organisasjoner som bruker Microsoft Teams vurderer nødvendigheten av å muliggjøre kommunikasjon mellom interne brukere og eksterne leietakere. "Hvis du ikke regelmessig kommuniserer med eksterne leietakere på Teams, er det tilrådelig å forbedre sikkerhetskontrollene dine og deaktivere dette alternativet helt," sa selskapet.
Automatisert skadelig programvare levert via Microsoft Teams Exploit Tool skjermbilder
