Аутоматизовани малвер испоручен преко Мицрософт Теамс алата за експлоатацију

До Chance. у Computer Security, Phishing

Преведи на:

Назван „ТеамсПхисхер“, алатка омогућава тестерима пенетрације и противницима да испоруче претеће датотеке директно кориснику Теамс-а из спољашњег окружења.

Нападачи сада имају приступ моћној алатки „ТеамсПхисхер“ која користи недавно откривену рањивост у Мицрософт тимовима. Овај алат пружа беспрекоран начин за испоруку оштећених датотека одређеним корисницима унутар организације користећи Теамс. Користећи предности комуникационих могућности између интерних и екстерних корисника Теамс-а, нападачи могу директно да убаце штетне садржаје у пријемне сандучиће жртава без потребе за конвенционалним пхисхинг или тактикама друштвеног инжењеринга. Доступност овог алата изазива забринутост у вези са потенцијалом повећаних циљаних напада и наглашава важност да организације појачају своје безбедносне мере за заштиту од таквих претњи.

Предуслови и начин рада

Према програмеру алатке, Алексу Риду, члану америчког морнаричког црвеног тима, ТеамсПхисхер може добити инструкције да отпреми прилог на Схарепоинт пошиљаоца и настави да циља одређену листу корисника Теамс-а. Овај процес укључује давање алата са прилогом, поруком и листом циљних корисника. ТеамсПхисхер ће затим извршити неопходне кораке за извршење намераваних радњи.

ТеамсПхисхер користи технику коју су недавно открили истраживачи ЈУМПСЕЦ Лабс Макс Корбриџ и Том Елсон да би превазишао безбедносно ограничење у Мицрософт тимовима. Иако платформа за сарадњу дозвољава комуникацију између корисника из различитих организација, дељење датотека је ограничено. Међутим, Корбриџ и Елсон су идентификовали рањивост небезбедне директне референце објекта (ИДОР), која им је омогућила да ефикасно заобиђу ово ограничење.

Манипулисањем ИД-ом интерног и екстерног примаоца у ПОСТ захтеву, открили су да ће корисни терет послат на овај начин боравити у СхареПоинт домену пошиљаоца и слетети у пријемно сандуче Теамс примаоца. Ова рањивост утиче на све организације које користе Теамс у подразумеваној конфигурацији, омогућавајући нападачима да заобиђу мере против крађе идентитета и друге безбедносне контроле. Упркос томе што је Мицрософт признао проблем, сматрали су да то није тренутни приоритет за санацију. Као резултат тога, организације морају остати будне и предузети проактивне мере за ублажавање овог потенцијалног безбедносног ризика.

Реид-ов ТеамсПхисхер алат комбинује технике ЈУМПСЕЦ-а, Андреа Сантесе-а и Сецуре Системс Енгинееринг ГмбХ. Користи ТеамсЕнум за набрајање корисника и укључује методе за почетни приступ. ТеамсПхисхер верификује способност циљаног корисника да прима спољне поруке и креира нову нит за испоруку поруке директно у пријемно сандуче, заобилазећи уобичајени екран за потврду. Када започне нова нит, порука и Схарепоинт веза за прилог ће отићи циљном кориснику. Након слања почетне поруке, пошиљалац може да види креирану нит у свом тимском ГУИ-ју и да комуницира са њом, решавајући све специфичне случајеве по потреби."

Извори су контактирали Мицрософт за коментар о утицају издања ТеамсПхисхер-а на њихов приступ решавању откривене рањивости, али одговор тек треба да добије. ЈУМПСЕЦ је препоручио да организације које користе Мицрософт Теамс процене неопходност омогућавања комуникације између интерних корисника и екстерних закупаца. „Ако не комуницирате редовно са спољним закупцима на тимовима, препоручљиво је да побољшате своје безбедносне контроле и потпуно онемогућите ову опцију“, саветује компанија.