Автоматизированное вредоносное ПО, доставляемое с помощью инструмента эксплойтов Microsoft Teams
Этот инструмент, получивший название TeamsPhisher, позволяет тестерам на проникновение и злоумышленникам доставлять угрожающие файлы непосредственно пользователю Teams из внешней среды.
Злоумышленники теперь имеют доступ к мощному инструменту TeamsPhisher, который использует недавно обнаруженную уязвимость в Microsoft Teams. Этот инструмент обеспечивает простой способ доставки поврежденных файлов определенным пользователям в организации с помощью Teams. Используя возможности связи между внутренними и внешними пользователями Teams, злоумышленники могут напрямую вставлять вредоносную полезную нагрузку в почтовые ящики жертв, не прибегая к традиционным тактикам фишинга или социальной инженерии. Доступность этого инструмента вызывает опасения по поводу возможности увеличения числа целевых атак и подчеркивает важность усиления организациями своих мер безопасности для защиты от таких угроз.
Предпосылки и методы работы
По словам разработчика инструмента Алекса Рейда, члена Красной команды ВМС США, TeamsPhisher можно поручить загрузить вложение в точку обмена отправителя и перейти к указанному списку пользователей Teams. Этот процесс включает предоставление инструменту вложения, сообщения и списка целевых пользователей. Затем TeamsPhisher выполнит необходимые шаги для выполнения намеченных действий.
TeamsPhisher использует метод, недавно раскрытый исследователями JUMPSEC Labs Максом Корбриджем и Томом Эллсоном, для преодоления ограничения безопасности в Microsoft Teams. Хотя платформа для совместной работы позволяет общаться между пользователями из разных организаций, обмен файлами ограничен. Однако Корбридж и Эллсон обнаружили уязвимость Insecure Direct Object Reference (IDOR), которая позволила им эффективно обойти это ограничение.
Манипулируя идентификаторами внутреннего и внешнего получателя в запросе POST, они обнаружили, что полезная нагрузка, отправленная таким образом, будет находиться в домене SharePoint отправителя и попасть в папку «Входящие» Teams получателя. Эта уязвимость затрагивает все организации, использующие Teams в конфигурации по умолчанию, что позволяет злоумышленникам обходить меры защиты от фишинга и другие элементы управления безопасностью. Несмотря на то, что Microsoft признала наличие проблемы, они не считают ее первоочередной задачей для исправления. В результате организации должны сохранять бдительность и принимать упреждающие меры для снижения этого потенциального риска безопасности.
Инструмент Reid TeamsPhisher сочетает в себе методы JUMPSEC, Andrea Santese и Secure Systems Engineering GmbH. Он использует TeamsEnum для перечисления пользователей и включает методы для начального доступа. TeamsPhisher проверяет способность целевого пользователя получать внешние сообщения и создает новый поток для доставки сообщения непосредственно в папку «Входящие», минуя обычный экран подтверждения. После запуска нового потока сообщение и ссылка на вложение Sharepoint будут отправлены целевому пользователю. После отправки исходного сообщения отправитель может просматривать и взаимодействовать с созданным потоком в своем графическом интерфейсе Teams, при необходимости решая любые конкретные случаи».
Источники обратились в Microsoft за комментариями о влиянии релиза TeamsPhisher на их подход к устранению обнаруженной уязвимости, но ответа пока не получили. JUMPSEC рекомендовал организациям, использующим Microsoft Teams, оценить необходимость обеспечения связи между внутренними пользователями и внешними арендаторами. «Если вы не общаетесь регулярно с внешними арендаторами в Teams, рекомендуется усилить меры безопасности и полностью отключить эту опцию», — посоветовала компания.
Автоматизированное вредоносное ПО, доставляемое с помощью инструмента эксплойтов Microsoft Teams Скриншотов
