Geautomatiseerde malware geleverd via Microsoft Teams Exploit Tool

Tegen Chance in Computer Security, Phishing

Vertalen naar:

De tool, genaamd "TeamsPhisher", stelt penetratietesters en tegenstanders in staat om bedreigende bestanden rechtstreeks vanuit een externe omgeving naar een Teams-gebruiker te sturen.

Aanvallers hebben nu toegang tot een krachtige "TeamsPhisher"-tool die misbruik maakt van een recentelijk onthulde kwetsbaarheid in Microsoft Teams. Deze tool biedt een naadloze manier om beschadigde bestanden te leveren aan specifieke gebruikers binnen een organisatie met behulp van Teams. Door gebruik te maken van de communicatiemogelijkheden tussen interne en externe Teams-gebruikers, kunnen aanvallers schadelijke payloads rechtstreeks in de inbox van slachtoffers plaatsen zonder dat daarvoor conventionele phishing- of social engineering-tactieken nodig zijn. De beschikbaarheid van deze tool geeft aanleiding tot bezorgdheid over het potentieel voor meer gerichte aanvallen en benadrukt hoe belangrijk het is dat organisaties hun beveiligingsmaatregelen versterken om zich tegen dergelijke bedreigingen te beschermen.

Vereisten en Modus Operandi

Volgens de ontwikkelaar van de tool, Alex Reid, een US Navy Red Team-lid, kan TeamsPhisher worden geïnstrueerd om een bijlage te uploaden naar het Sharepoint van de afzender en door te gaan met het targeten van een gespecificeerde lijst van Teams-gebruikers. Dit proces omvat het verstrekken van de tool met een bijlage, een bericht en een lijst met doelgebruikers. TeamsPhisher zal dan de nodige stappen ondernemen om de beoogde acties uit te voeren.

TeamsPhisher maakt gebruik van een techniek die onlangs is onthuld door JUMPSEC Labs-onderzoekers Max Corbridge en Tom Ellson om een beveiligingsbeperking in Microsoft Teams te omzeilen. Hoewel het samenwerkingsplatform communicatie tussen gebruikers van verschillende organisaties mogelijk maakt, is het delen van bestanden beperkt. Corbridge en Ellson ontdekten echter een kwetsbaarheid voor Insecure Direct Object Reference (IDOR), waardoor ze deze beperking effectief konden omzeilen.

Door de ID van de interne en externe ontvanger in een POST-verzoek te manipuleren, ontdekten ze dat een op deze manier verzonden payload zich in het SharePoint-domein van de afzender zou bevinden en in de Teams-inbox van de ontvanger terecht zou komen. Deze kwetsbaarheid treft alle organisaties die Teams in een standaardconfiguratie gebruiken, waardoor aanvallers antiphishingmaatregelen en andere beveiligingscontroles kunnen omzeilen. Ondanks de erkenning van het probleem door Microsoft, achten ze het geen onmiddellijke prioriteit voor herstel. Daarom moeten organisaties waakzaam blijven en proactief maatregelen nemen om dit potentiële beveiligingsrisico te verkleinen.

De TeamsPhisher-tool van Reid combineert technieken van JUMPSEC, Andrea Santese en Secure Systems Engineering GmbH. Het maakt gebruik van TeamsEnum voor gebruikersopsomming en bevat methoden voor initiële toegang. TeamsPhisher verifieert het vermogen van een doelgebruiker om externe berichten te ontvangen en creëert een nieuwe thread om het bericht rechtstreeks in de inbox af te leveren, waarbij het gebruikelijke bevestigingsscherm wordt omzeild. Zodra de nieuwe thread is gestart, gaan het bericht en de Sharepoint-bijlagelink naar de doelgebruiker. Na het verzenden van het eerste bericht kan de afzender de aangemaakte thread in zijn Teams-GUI bekijken en gebruiken, en zo nodig specifieke gevallen aanpakken."

Bronnen hebben contact opgenomen met Microsoft voor commentaar over de impact van de release van TeamsPhisher op hun aanpak om de ontdekte kwetsbaarheid aan te pakken, maar er is nog geen reactie ontvangen. JUMPSEC heeft aanbevolen dat organisaties die Microsoft Teams gebruiken de noodzaak beoordelen om communicatie tussen interne gebruikers en externe huurders mogelijk te maken. "Als je niet regelmatig communiceert met externe huurders op Teams, is het raadzaam om je beveiligingscontroles te verbeteren en deze optie volledig uit te schakelen", adviseerde het bedrijf.