Avtomatizirana zlonamerna programska oprema, dostavljena prek orodja za izkoriščanje Microsoft Teams

Do leta Chance leta Computer Security, Phishing

Prevedi v:

Orodje, poimenovano "TeamsPhisher", omogoča preizkuševalcem penetracije in nasprotnikom, da dostavijo grozeče datoteke neposredno uporabniku Teams iz zunanjega okolja.

Napadalci imajo zdaj dostop do zmogljivega orodja » TeamsPhisher «, ki izkorišča nedavno razkrito ranljivost v Microsoft Teams. To orodje zagotavlja brezhiben način za dostavo poškodovanih datotek določenim uporabnikom znotraj organizacije z uporabo Teams. Z izkoriščanjem komunikacijskih zmožnosti med notranjimi in zunanjimi uporabniki Teams lahko napadalci neposredno vstavijo škodljive tovore v mape »Prejeto« žrtev brez potrebe po običajnem lažnem predstavljanju ali taktikah socialnega inženiringa. Razpoložljivost tega orodja vzbuja pomisleke glede možnosti povečanja ciljanih napadov in poudarja pomen organizacij, ki krepijo svoje varnostne ukrepe za zaščito pred takšnimi grožnjami.

Predpogoji in način delovanja

Po besedah razvijalca orodja Alexa Reida, člana rdeče ekipe ameriške mornarice, lahko TeamsPhisherju naročijo, naj naloži prilogo v pošiljateljev Sharepoint in nadaljuje s ciljanjem na določen seznam uporabnikov Teams. Ta postopek vključuje zagotavljanje orodja s prilogo, sporočilom in seznamom ciljnih uporabnikov. TeamsPhisher bo nato izvedel potrebne korake za izvedbo predvidenih dejanj.

TeamsPhisher uporablja tehniko, ki sta jo pred kratkim razkrila raziskovalca JUMPSEC Labs Max Corbridge in Tom Ellson za premagovanje varnostne omejitve v Microsoft Teams. Čeprav platforma za sodelovanje omogoča komunikacijo med uporabniki iz različnih organizacij, je skupna raba datotek omejena. Vendar sta Corbridge in Ellson odkrila ranljivost IDOR (Insecure Direct Object Reference), ki jima je omogočila, da učinkovito zaobide to omejitev.

Z manipulacijo ID-ja notranjega in zunanjega prejemnika v zahtevi POST so odkrili, da bo koristni tovor, poslan na ta način, prebival v pošiljateljevi domeni SharePoint in pristal v prejemnikovem predalu Teams. Ta ranljivost vpliva na vse organizacije, ki uporabljajo Teams v privzeti konfiguraciji, kar napadalcem omogoča, da zaobidejo ukrepe proti lažnemu predstavljanju in druge varnostne kontrole. Kljub temu, da je Microsoft priznal težavo, menijo, da to ni takojšnja prednostna naloga za odpravo. Posledično morajo organizacije ostati pazljive in sprejeti proaktivne ukrepe za ublažitev tega potencialnega varnostnega tveganja.

Reidovo orodje TeamsPhisher združuje tehnike podjetij JUMPSEC, Andrea Santese in Secure Systems Engineering GmbH. Uporablja TeamsEnum za številčenje uporabnikov in vključuje metode za začetni dostop. TeamsPhisher preveri sposobnost ciljnega uporabnika za prejemanje zunanjih sporočil in ustvari novo nit za dostavo sporočila neposredno v mapo »Prejeto«, mimo običajnega potrditvenega zaslona. Ko se začne nova nit, bosta sporočilo in povezava do priloge Sharepoint poslana ciljnemu uporabniku. Po pošiljanju začetnega sporočila si lahko pošiljatelj ogleda in komunicira z ustvarjeno nitjo v svojem grafičnem uporabniškem vmesniku Teams ter po potrebi obravnava morebitne posebne primere.«

Viri so se obrnili na Microsoft za komentar o vplivu izdaje TeamsPhisherja na njihov pristop k odpravljanju odkrite ranljivosti, vendar odgovora še ni bilo. JUMPSEC je priporočil organizacijam, ki uporabljajo Microsoft Teams, da ocenijo potrebo po omogočanju komunikacije med notranjimi uporabniki in zunanjimi najemniki. "Če ne komunicirate redno z zunanjimi najemniki v storitvi Teams, je priporočljivo, da izboljšate svoje varnostne kontrole in v celoti onemogočite to možnost," svetujejo v podjetju.