Malware automat livrat prin Microsoft Teams Exploit Tool

Până în Chance în Computer Security, Phishing

Tradu in:

Denumit „TeamsPhisher”, instrumentul le permite testatorilor de penetrare și adversarilor să livreze fișiere amenințătoare direct unui utilizator Teams dintr-un mediu extern.

Atacatorii au acum acces la un instrument puternic „TeamsPhisher” care exploatează o vulnerabilitate dezvăluită recent în Microsoft Teams. Acest instrument oferă o modalitate simplă de a livra fișiere corupte anumitor utilizatori din cadrul unei organizații care utilizează Teams. Profitând de capacitățile de comunicare dintre utilizatorii interni și externi ai Teams, atacatorii pot introduce direct încărcături utile dăunătoare în căsuțele primite ale victimelor, fără a fi nevoie de tactici convenționale de phishing sau de inginerie socială. Disponibilitatea acestui instrument ridică îngrijorări cu privire la potențialul de atacuri țintite sporite și evidențiază importanța ca organizațiile să-și consolideze măsurile de securitate pentru a se proteja împotriva unor astfel de amenințări.

Cerințe preliminare și Modus Operandi

Potrivit dezvoltatorului instrumentului, Alex Reid, un membru al echipei US Navy Red, TeamsPhisher poate fi instruit să încarce un atașament în Sharepoint-ul expeditorului și să continue să vizeze o listă specificată de utilizatori Teams. Acest proces implică furnizarea instrumentului cu un atașament, un mesaj și o listă de utilizatori țintă. TeamsPhisher va efectua apoi pașii necesari pentru a executa acțiunile intenționate.

TeamsPhisher utilizează o tehnică dezvăluită recent de cercetătorii JUMPSEC Labs Max Corbridge și Tom Ellson pentru a depăși o limitare de securitate în Microsoft Teams. În timp ce platforma de colaborare permite comunicarea între utilizatori din diferite organizații, partajarea fișierelor este restricționată. Cu toate acestea, Corbridge și Ellson au identificat o vulnerabilitate Insecure Direct Object Reference (IDOR), care le-a permis să ocolească această restricție în mod eficient.

Prin manipularea ID-ului destinatarului intern și extern într-o solicitare POST, ei au descoperit că o sarcină utilă trimisă în acest mod ar locui în domeniul SharePoint al expeditorului și va ajunge în căsuța de echipe a destinatarului. Această vulnerabilitate afectează toate organizațiile care folosesc Teams într-o configurație implicită, permițând atacatorilor să evite măsurile anti-phishing și alte controale de securitate. În ciuda recunoașterii de către Microsoft a problemei, au considerat că aceasta nu este o prioritate imediată pentru remediere. Ca urmare, organizațiile trebuie să rămână vigilente și să ia măsuri proactive pentru a atenua acest potențial risc de securitate.

Instrumentul TeamsPhisher de la Reid combină tehnici de la JUMPSEC, Andrea Santese și Secure Systems Engineering GmbH. Utilizează TeamsEnum pentru enumerarea utilizatorilor și încorporează metode pentru accesul inițial. TeamsPhisher verifică capacitatea unui utilizator țintă de a primi mesaje externe și creează un fir nou pentru a livra mesajul direct în căsuța de e-mail, ocolind ecranul obișnuit de confirmare. Odată ce noul fir a început, mesajul și linkul atașamentului Sharepoint vor ajunge la utilizatorul țintă. După trimiterea mesajului inițial, expeditorul poate vedea și interacționa cu firul creat în GUI Teams, abordând orice cazuri specifice, dacă este necesar.”

Surse au contactat Microsoft pentru comentarii cu privire la impactul lansării TeamsPhisher asupra abordării lor de a aborda vulnerabilitatea descoperită, dar încă nu a fost primit un răspuns. JUMPSEC a recomandat organizațiilor care folosesc Microsoft Teams să evalueze necesitatea de a permite comunicarea între utilizatorii interni și chiriașii externi. „Dacă nu comunicați în mod regulat cu chiriașii externi în Teams, este recomandabil să vă îmbunătățiți controalele de securitate și să dezactivați complet această opțiune”, a sfătuit compania.