Zautomatyzowane złośliwe oprogramowanie dostarczane za pomocą narzędzia Microsoft Teams Exploit Tool

Do Chance w Computer Security, Phishing

Przetłumacz na:

Narzędzie, nazwane „TeamsPhisher”, umożliwia testerom penetracyjnym i przeciwnikom dostarczanie groźnych plików bezpośrednio do użytkownika Teams ze środowiska zewnętrznego.

Atakujący mają teraz dostęp do potężnego narzędzia „TeamsPhisher”, które wykorzystuje niedawno ujawnioną lukę w Microsoft Teams. To narzędzie zapewnia bezproblemowy sposób dostarczania uszkodzonych plików określonym użytkownikom w organizacji za pomocą aplikacji Teams. Korzystając z możliwości komunikacji między wewnętrznymi i zewnętrznymi użytkownikami Teams, osoby atakujące mogą bezpośrednio umieszczać szkodliwe ładunki w skrzynkach odbiorczych ofiar bez potrzeby stosowania konwencjonalnych taktyk phishingowych lub socjotechnicznych. Dostępność tego narzędzia budzi obawy co do potencjalnego nasilenia ataków ukierunkowanych i podkreśla znaczenie wzmocnienia przez organizacje środków bezpieczeństwa w celu ochrony przed takimi zagrożeniami.

Warunki wstępne i sposób działania

Według twórcy narzędzia, Alexa Reida, członka US Navy Red Team, TeamsPhisher może zostać poinstruowany, aby przesłał załącznik do Sharepoint nadawcy i przystąpił do kierowania ataków na określoną listę użytkowników Teams. Proces ten polega na dostarczeniu narzędziu załącznika, wiadomości oraz listy docelowych użytkowników. TeamsPhisher podejmie następnie niezbędne kroki w celu wykonania zamierzonych działań.

TeamsPhisher wykorzystuje technikę ujawnioną niedawno przez badaczy JUMPSEC Labs, Maxa Corbridge'a i Toma Ellsona, aby przezwyciężyć ograniczenia bezpieczeństwa w Microsoft Teams. Chociaż platforma współpracy umożliwia komunikację między użytkownikami z różnych organizacji, udostępnianie plików jest ograniczone. Jednak Corbridge i Ellson zidentyfikowali lukę w zabezpieczeniach typu Insecure Direct Object Reference (IDOR), która umożliwiła im skuteczne obejście tego ograniczenia.

Manipulując identyfikatorem wewnętrznego i zewnętrznego odbiorcy w żądaniu POST, odkryli, że ładunek wysłany w ten sposób będzie rezydował w domenie SharePoint nadawcy i wyląduje w skrzynce odbiorczej Teams odbiorcy. Luka ta dotyczy wszystkich organizacji korzystających z usługi Teams w domyślnej konfiguracji, umożliwiając atakującym obejście środków antyphishingowych i innych kontroli bezpieczeństwa. Pomimo uznania przez Microsoft problemu, nie uznali go za natychmiastowy priorytet dla środków zaradczych. W rezultacie organizacje muszą zachować czujność i podejmować proaktywne działania w celu ograniczenia tego potencjalnego zagrożenia bezpieczeństwa.

Narzędzie TeamsPhisher firmy Reid łączy w sobie techniki JUMPSEC, Andrea Santese i Secure Systems Engineering GmbH. Wykorzystuje TeamsEnum do wyliczania użytkowników i zawiera metody początkowego dostępu. TeamsPhisher weryfikuje zdolność użytkownika docelowego do otrzymywania wiadomości zewnętrznych i tworzy nowy wątek w celu dostarczenia wiadomości bezpośrednio do skrzynki odbiorczej, z pominięciem zwykłego ekranu potwierdzenia. Po uruchomieniu nowego wątku wiadomość i łącze do załącznika programu Sharepoint trafią do użytkownika docelowego. Po wysłaniu początkowej wiadomości nadawca może przeglądać i wchodzić w interakcje z utworzonym wątkiem w interfejsie graficznym Teams, rozwiązując w razie potrzeby wszelkie określone przypadki”.

Źródła skontaktowały się z Microsoftem w celu uzyskania komentarza na temat wpływu wydania TeamsPhishera na ich podejście do zaradzenia wykrytej luce, ale odpowiedź nie została jeszcze otrzymana. JUMPSEC zalecił organizacjom korzystającym z Microsoft Teams ocenę konieczności umożliwienia komunikacji między użytkownikami wewnętrznymi a zewnętrznymi najemcami. „Jeśli nie komunikujesz się regularnie z zewnętrznymi najemcami w Teams, wskazane jest ulepszenie kontroli bezpieczeństwa i całkowite wyłączenie tej opcji” – radzi firma.