Um Malware Automatizado foi Distribuído por Meio da Ferramenta de Exploração do Microsoft Teams

Por Chance em Computer Security, Phishing

Traduzir Para:

Apelidada de "TeamsPhisher", a ferramenta permite que testadores de penetração e adversários entreguem arquivos ameaçadores diretamente a um usuário do Teams de um ambiente externo.

Os invasores agora têm acesso a uma poderosa ferramenta "TeamsPhisher" que explora uma vulnerabilidade recentemente divulgada no Microsoft Teams. Essa ferramenta fornece uma maneira perfeita de entregar arquivos corrompidos a usuários específicos em uma organização usando o Teams. Aproveitando os recursos de comunicação entre usuários internos e externos do Teams, os invasores podem inserir cargas prejudiciais diretamente nas caixas de entrada das vítimas sem a necessidade de phishing convencional ou táticas de engenharia social. A disponibilidade dessa ferramenta levanta preocupações sobre o potencial de aumento de ataques direcionados e destaca a importância de as organizações reforçarem suas medidas de segurança para proteção contra tais ameaças.

Pré-Requisitos e Modus Operandi

De acordo com o desenvolvedor da ferramenta, Alex Reid, membro do US Navy Red Team, o TeamsPhisher pode ser instruído a enviar um anexo para o Sharepoint do remetente e prosseguir para uma lista específica de usuários do Teams. Esse processo envolve fornecer à ferramenta um anexo, uma mensagem e uma lista de usuários-alvo. O TeamsPhisher realizará as etapas necessárias para executar as ações pretendidas.

O TeamsPhisher utiliza uma técnica recentemente revelada pelos pesquisadores do JUMPSEC Labs, Max Corbridge e Tom Ellson, para superar uma limitação de segurança no Microsoft Teams. Embora a plataforma de colaboração permita a comunicação entre usuários de diferentes organizações, o compartilhamento de arquivos é restrito. No entanto, Corbridge e Ellson identificaram uma vulnerabilidade Insecure Direct Object Reference (IDOR), que lhes permitiu contornar essa restrição de forma eficaz.

Ao manipular a ID do destinatário interno e externo em uma solicitação POST, eles descobriram que uma carga enviada dessa maneira residiria no domínio do SharePoint do remetente e chegaria à caixa de entrada do Teams do destinatário. Essa vulnerabilidade afeta todas as organizações que usam o Teams em uma configuração padrão, permitindo que invasores contornem medidas anti-phishing e outros controles de segurança. Apesar do reconhecimento do problema pela Microsoft, eles consideraram que não é uma prioridade imediata para correção. Como resultado, as organizações devem permanecer vigilantes e tomar medidas proativas para mitigar esse possível risco de segurança.

A ferramenta TeamsPhisher de Reid combina técnicas de JUMPSEC, Andrea Santese e Secure Systems Engineering GmbH. Ele aproveita o TeamsEnum para enumeração de usuários e incorpora métodos para acesso inicial. O TeamsPhisher verifica a capacidade do usuário-alvo de receber mensagens externas e cria um novo thread para entregar a mensagem diretamente na caixa de entrada, ignorando a tela de confirmação usual. Depois que o novo thread for iniciado, a mensagem e o link do anexo do Sharepoint irão para o usuário de destino. Depois de enviar a mensagem inicial, o remetente pode visualizar e interagir com o thread criado em sua GUI do Teams, abordando casos específicos conforme necessário."

As fontes procuraram a Microsoft para comentar o impacto do lançamento do TeamsPhisher em sua abordagem para lidar com a vulnerabilidade descoberta, mas uma resposta ainda não foi recebida. A JUMPSEC recomendou que as organizações que usam o Microsoft Teams avaliassem a necessidade de permitir a comunicação entre usuários internos e locatários externos. “Se você não se comunica regularmente com locatários externos no Teams, é aconselhável aprimorar seus controles de segurança e desativar totalmente essa opção”, aconselhou a empresa.