Malware i automatizuar i dorëzuar nëpërmjet Microsoft Teams Exploit Tool

Nga Chance në Computer Security, Phishing

Përkthe në:

I quajtur "TeamsPhisher", mjeti u mundëson testuesve të depërtimit dhe kundërshtarëve të dorëzojnë skedarë kërcënues drejtpërdrejt te një përdorues i Teams nga një mjedis i jashtëm.

Sulmuesit tani kanë akses në një mjet të fuqishëm "TeamsPhisher" që shfrytëzon një dobësi të zbuluar së fundmi në Microsoft Teams. Ky mjet ofron një mënyrë pa probleme për të ofruar skedarë të korruptuar tek përdoruesit specifikë brenda një organizate që përdor Ekipet. Duke përfituar nga aftësitë e komunikimit midis përdoruesve të brendshëm dhe të jashtëm të Ekipeve, sulmuesit mund të fusin drejtpërdrejt ngarkesa të dëmshme në kutitë hyrëse të viktimave pa pasur nevojë për taktika konvencionale phishing ose inxhinieri sociale. Disponueshmëria e këtij mjeti ngre shqetësime në lidhje me potencialin për rritje të sulmeve të synuara dhe thekson rëndësinë e organizatave që të forcojnë masat e tyre të sigurisë për t'u mbrojtur nga kërcënime të tilla.

Parakushtet dhe Modus Operandi

Sipas zhvilluesit të mjetit, Alex Reid, një anëtar i Ekipit të Kuq të Marinës së SHBA-së, TeamsPhisher mund të udhëzohet të ngarkojë një bashkëngjitje në Sharepoint-in e dërguesit dhe të vazhdojë të synojë një listë të caktuar të përdoruesve të Teams. Ky proces përfshin sigurimin e mjetit me një bashkëngjitje, një mesazh dhe një listë të përdoruesve të synuar. TeamsPhisher më pas do të kryejë hapat e nevojshëm për të ekzekutuar veprimet e synuara.

TeamsPhisher përdor një teknikë të zbuluar së fundmi nga studiuesit e JUMPSEC Labs Max Corbridge dhe Tom Ellson për të kapërcyer një kufizim sigurie në Microsoft Teams. Ndërsa platforma e bashkëpunimit lejon komunikimin midis përdoruesve nga organizata të ndryshme, ndarja e skedarëve është e kufizuar. Sidoqoftë, Corbridge dhe Ellson identifikuan një cenueshmëri të Referencës së Objekteve të Pasigurta Direkte (IDOR), e cila i lejoi ata të anashkalonin këtë kufizim në mënyrë efektive.

Duke manipuluar ID-në e marrësit të brendshëm dhe të jashtëm në një kërkesë POST, ata zbuluan se një ngarkesë e dërguar në këtë mënyrë do të banonte në domenin SharePoint të dërguesit dhe do të zbriste në kutinë hyrëse të ekipeve të marrësit. Kjo dobësi prek të gjitha organizatat që përdorin Ekipet në një konfigurim të paracaktuar, duke u mundësuar sulmuesve të anashkalojnë masat kundër phishing dhe kontrollet e tjera të sigurisë. Pavarësisht se Microsoft e pranon këtë çështje, ata e kanë konsideruar atë jo një prioritet të menjëhershëm për korrigjimin. Si rezultat, organizatat duhet të qëndrojnë vigjilente dhe të marrin masa proaktive për të zbutur këtë rrezik të mundshëm të sigurisë.

Mjeti TeamsPhisher i Reid kombinon teknika nga JUMPSEC, Andrea Santese dhe Secure Systems Engineering GmbH. Ai përdor TeamsEnum për numërimin e përdoruesve dhe përfshin metoda për aksesin fillestar. TeamsPhisher verifikon aftësinë e një përdoruesi të synuar për të marrë mesazhe të jashtme dhe krijon një lidhje të re për të dërguar mesazhin direkt në kutinë hyrëse, duke anashkaluar ekranin e zakonshëm të konfirmimit. Pasi të ketë filluar fillesa e re, mesazhi dhe lidhja e bashkëngjitjes së Sharepoint do të shkojnë te përdoruesi i synuar. Pas dërgimit të mesazhit fillestar, dërguesi mund të shikojë dhe të ndërveprojë me temën e krijuar në GUI të ekipeve të tyre, duke adresuar çdo rast specifik sipas nevojës."

Burimet kontaktuan me Microsoft-in për komente mbi ndikimin e lëshimit të TeamsPhisher në qasjen e tyre për të adresuar cenueshmërinë e zbuluar, por ende nuk është marrë një përgjigje. JUMPSEC ka rekomanduar që organizatat që përdorin Microsoft Teams të vlerësojnë domosdoshmërinë për të mundësuar komunikimin midis përdoruesve të brendshëm dhe qiramarrësve të jashtëm. "Nëse nuk komunikoni rregullisht me qiramarrës të jashtëm në Teams, këshillohet të përmirësoni kontrollet tuaja të sigurisë dhe ta çaktivizoni plotësisht këtë opsion," këshilloi kompania.