Automatiserad skadlig programvara levererad via Microsoft Teams Exploit Tool

Verktyget, kallat "TeamsPhisher", gör att penetrationstestare och motståndare kan leverera hotfulla filer direkt till en Teams-användare från en extern miljö.

Angripare har nu tillgång till ett kraftfullt "TeamsPhisher"-verktyg som utnyttjar en nyligen avslöjad sårbarhet i Microsoft Teams. Det här verktyget ger ett sömlöst sätt att leverera skadade filer till specifika användare inom en organisation som använder Teams. Genom att dra fördel av kommunikationsmöjligheterna mellan interna och externa Teams-användare kan angripare direkt infoga skadliga nyttolaster i offrens inkorgar utan behov av konventionellt nätfiske eller social ingenjörstaktik. Tillgängligheten av detta verktyg väcker oro över potentialen för ökade riktade attacker och understryker vikten av att organisationer stärker sina säkerhetsåtgärder för att skydda mot sådana hot.

Förkunskaper och Modus Operandi

Enligt verktygets utvecklare, Alex Reid, en US Navy Red Team-medlem, kan TeamsPhisher instrueras att ladda upp en bilaga till avsändarens Sharepoint och fortsätta att rikta in sig på en specificerad lista över Teams-användare. Denna process innebär att verktyget förses med en bilaga, ett meddelande och en lista över målanvändare. TeamsPhisher kommer sedan att utföra de nödvändiga stegen för att utföra de avsedda åtgärderna.

TeamsPhisher använder en teknik som nyligen avslöjats av JUMPSEC Labs forskare Max Corbridge och Tom Ellson för att övervinna en säkerhetsbegränsning i Microsoft Teams. Medan samarbetsplattformen tillåter kommunikation mellan användare från olika organisationer, är fildelningen begränsad. Corbridge och Ellson identifierade dock en sårbarhet för Insecure Direct Object Reference (IDOR), vilket gjorde det möjligt för dem att kringgå denna begränsning effektivt.

Genom att manipulera ID:t för den interna och externa mottagaren i en POST-förfrågan upptäckte de att en nyttolast som skickades på detta sätt skulle finnas i avsändarens SharePoint-domän och landa på mottagarens Teams-inkorg. Denna sårbarhet påverkar alla organisationer som använder Teams i en standardkonfiguration, vilket gör att angripare kan kringgå åtgärder mot nätfiske och andra säkerhetskontroller. Trots Microsofts erkännande av problemet har de ansett att det inte är en omedelbar prioritet för åtgärdande. Som ett resultat måste organisationer förbli vaksamma och vidta proaktiva åtgärder för att minska denna potentiella säkerhetsrisk.

Reids TeamsPhisher-verktyg kombinerar tekniker från JUMPSEC, Andrea Santese och Secure Systems Engineering GmbH. Det utnyttjar TeamsEnum för användaruppräkning och innehåller metoder för initial åtkomst. TeamsPhisher verifierar en målanvändares förmåga att ta emot externa meddelanden och skapar en ny tråd för att leverera meddelandet direkt till inkorgen, förbi den vanliga bekräftelseskärmen. När den nya tråden har startat kommer meddelandet och Sharepoint-bifogningslänken att gå till målanvändaren. Efter att ha skickat det första meddelandet kan avsändaren se och interagera med den skapade tråden i sitt Teams GUI och åtgärda eventuella specifika fall vid behov."

Källor kontaktade Microsoft för att kommentera effekten av TeamsPhishers release på deras tillvägagångssätt för att ta itu med den upptäckta sårbarheten, men något svar har ännu inte mottagits. JUMPSEC har rekommenderat att organisationer som använder Microsoft Teams bedömer nödvändigheten av att möjliggöra kommunikation mellan interna användare och externa hyresgäster. "Om du inte regelbundet kommunicerar med externa hyresgäster på Teams, är det lämpligt att förbättra dina säkerhetskontroller och inaktivera det här alternativet helt," rådde företaget.

Automatiserad skadlig programvara levererad via Microsoft Teams Exploit Tool skärmdumpar