Automatizovaný malvér dodávaný prostredníctvom nástroja Microsoft Teams Exploit Tool

Do roku Chance v roku Computer Security, Phishing

Preložiť do:

Tento nástroj s názvom „TeamsPhisher“ umožňuje penetračným testerom a protivníkom doručovať ohrozujúce súbory priamo používateľovi Teams z vonkajšieho prostredia.

Útočníci majú teraz prístup k výkonnému nástroju „ TeamsPhisher “, ktorý využíva nedávno odhalenú zraniteľnosť v Microsoft Teams. Tento nástroj poskytuje bezproblémový spôsob doručenia poškodených súborov konkrétnym používateľom v rámci organizácie pomocou aplikácie Teams. Využitím komunikačných možností medzi internými a externými používateľmi Teams môžu útočníci priamo vkladať škodlivé dáta do schránok obetí bez toho, aby potrebovali konvenčné phishingové alebo sociálne inžinierske taktiky. Dostupnosť tohto nástroja vyvoláva obavy z potenciálu zvýšených cielených útokov a zdôrazňuje dôležitosť toho, aby organizácie posilnili svoje bezpečnostné opatrenia na ochranu pred takýmito hrozbami.

Predpoklady a spôsob práce

Podľa vývojára nástroja, Alexa Reida, člena amerického námorníctva Red Team, TeamsPhisher môže dostať pokyn, aby nahral prílohu do Sharepoint odosielateľa a pokračoval v zacielení na určený zoznam používateľov Teams. Tento proces zahŕňa poskytnutie prílohy, správy a zoznamu cieľových používateľov nástroju. TeamsPhisher potom vykoná potrebné kroky na vykonanie zamýšľaných akcií.

TeamsPhisher využíva techniku, ktorú nedávno odhalili výskumníci z JUMPSEC Labs Max Corbridge a Tom Ellson na prekonanie bezpečnostného obmedzenia v Microsoft Teams. Zatiaľ čo platforma spolupráce umožňuje komunikáciu medzi používateľmi z rôznych organizácií, zdieľanie súborov je obmedzené. Corbridge a Ellson však identifikovali zraniteľnosť Insecure Direct Object Reference (IDOR), ktorá im umožnila efektívne obísť toto obmedzenie.

Manipuláciou s ID interného a externého príjemcu v žiadosti POST zistili, že takto odoslaná užitočná časť sa bude nachádzať v doméne SharePoint odosielateľa a dostane sa do priečinka doručenej pošty príjemcu v službe Teams. Táto chyba zabezpečenia ovplyvňuje všetky organizácie používajúce Teams v predvolenej konfigurácii, čo útočníkom umožňuje obísť opatrenia proti phishingu a iné bezpečnostné kontroly. Napriek tomu, že Microsoft tento problém uznal, nepovažovali to za bezprostrednú prioritu nápravy. V dôsledku toho musia organizácie zostať obozretné a prijať proaktívne opatrenia na zmiernenie tohto potenciálneho bezpečnostného rizika.

Nástroj TeamsPhisher spoločnosti Reid kombinuje techniky od spoločností JUMPSEC, Andrea Santese a Secure Systems Engineering GmbH. Využíva TeamsEnum na enumeráciu používateľov a zahŕňa metódy pre počiatočný prístup. TeamsPhisher overí schopnosť cieľového používateľa prijímať externé správy a vytvorí nové vlákno na doručenie správy priamo do doručenej pošty, čím sa obíde zvyčajná potvrdzovacia obrazovka. Po spustení nového vlákna sa správa a odkaz na prílohu Sharepoint dostanú k cieľovému používateľovi. Po odoslaní úvodnej správy môže odosielateľ prezerať a interagovať s vytvoreným vláknom vo svojom používateľskom rozhraní Teams a podľa potreby riešiť akékoľvek konkrétne prípady."

Zdroje sa obrátili na Microsoft, aby sa vyjadrili k vplyvu vydania TeamsPhisher na ich prístup k riešeniu zistenej zraniteľnosti, ale odpoveď ešte nebola doručená. JUMPSEC odporučil, aby organizácie využívajúce Microsoft Teams zhodnotili potrebu umožnenia komunikácie medzi internými používateľmi a externými nájomníkmi. „Ak pravidelne nekomunikujete s externými nájomníkmi v službe Teams, odporúča sa vylepšiť ovládacie prvky zabezpečenia a túto možnosť úplne zakázať,“ odporúča spoločnosť.