มัลแวร์อัตโนมัติที่ส่งผ่าน Microsoft Teams Exploit Tool

โดย Chance ใน Computer Security, Phishing

แปลเป็น:

เครื่องมือที่เรียกว่า "TeamsPhisher" ช่วยให้ผู้ทดสอบการเจาะระบบและฝ่ายตรงข้ามสามารถส่งไฟล์ที่เป็นอันตรายโดยตรงไปยังผู้ใช้ Teams จากสภาพแวดล้อมภายนอก

ตอนนี้ผู้โจมตีสามารถเข้าถึงเครื่องมือ " TeamsPhisher " อันทรงพลังที่ใช้ประโยชน์จากช่องโหว่ที่เพิ่งเปิดเผยใน Microsoft Teams เครื่องมือนี้มอบวิธีที่ราบรื่นในการจัดส่งไฟล์ที่เสียหายไปยังผู้ใช้เฉพาะภายในองค์กรโดยใช้ Teams ด้วยการใช้ประโยชน์จากความสามารถในการสื่อสารระหว่างผู้ใช้ Teams ภายในและภายนอก ผู้โจมตีสามารถแทรกเพย์โหลดที่เป็นอันตรายลงในกล่องจดหมายของเหยื่อได้โดยตรง โดยไม่จำเป็นต้องใช้กลวิธีฟิชชิงทั่วไปหรือวิศวกรรมสังคม ความพร้อมใช้งานของเครื่องมือนี้ทำให้เกิดความกังวลเกี่ยวกับศักยภาพของการโจมตีแบบกำหนดเป้าหมายที่เพิ่มขึ้น และเน้นย้ำถึงความสำคัญขององค์กรที่สนับสนุนมาตรการรักษาความปลอดภัยเพื่อป้องกันภัยคุกคามดังกล่าว

ข้อกำหนดเบื้องต้นและวิธีดำเนินการ

ตามที่ผู้พัฒนาเครื่องมือ Alex Reid ซึ่งเป็นสมาชิกทีม US Navy Red กล่าวว่า TeamsPhisher ได้รับคำสั่งให้อัปโหลดไฟล์แนบไปยัง Sharepoint ของผู้ส่ง และดำเนินการกำหนดเป้าหมายรายชื่อผู้ใช้ Teams ที่ระบุ กระบวนการนี้เกี่ยวข้องกับการจัดหาสิ่งที่แนบมา ข้อความ และรายชื่อผู้ใช้เป้าหมายให้กับเครื่องมือ จากนั้น TeamsPhisher จะดำเนินการตามขั้นตอนที่จำเป็นเพื่อดำเนินการตามที่ตั้งใจไว้

TeamsPhisher ใช้เทคนิคที่เพิ่งเปิดเผยโดยนักวิจัยของ JUMPSEC Labs Max Corbridge และ Tom Ellson เพื่อเอาชนะข้อจำกัดด้านความปลอดภัยใน Microsoft Teams แม้ว่าแพลตฟอร์มการทำงานร่วมกันจะอนุญาตการสื่อสารระหว่างผู้ใช้จากองค์กรต่างๆ การแชร์ไฟล์จะถูกจำกัด อย่างไรก็ตาม Corbridge และ Ellson ตรวจพบช่องโหว่ Insecure Direct Object Reference (IDOR) ซึ่งทำให้สามารถข้ามข้อจำกัดนี้ได้อย่างมีประสิทธิภาพ

ด้วยการจัดการ ID ของผู้รับภายในและภายนอกในคำขอ POST พวกเขาพบว่าเพย์โหลดที่ส่งในลักษณะนี้จะอยู่ในโดเมน SharePoint ของผู้ส่งและไปที่กล่องขาเข้า Teams ของผู้รับ ช่องโหว่นี้ส่งผลกระทบต่อทุกองค์กรที่ใช้ Teams ในการกำหนดค่าเริ่มต้น ทำให้ผู้โจมตีสามารถหลีกเลี่ยงมาตรการป้องกันฟิชชิงและการควบคุมความปลอดภัยอื่นๆ ได้ แม้ว่าไมโครซอฟต์จะรับทราบปัญหาแล้ว แต่พวกเขาก็ยังถือว่าไม่ใช่ลำดับความสำคัญเร่งด่วนสำหรับการแก้ไขในทันที ด้วยเหตุนี้ องค์กรต่างๆ จึงต้องระมัดระวังและใช้มาตรการเชิงรุกเพื่อลดความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น

เครื่องมือ TeamsPhisher ของ Reid รวมเทคนิคจาก JUMPSEC, Andrea Santese และ Secure Systems Engineering GmbH มันใช้ประโยชน์จาก TeamsEnum สำหรับการแจงนับผู้ใช้และรวมวิธีการสำหรับการเข้าถึงครั้งแรก TeamsPhisher ตรวจสอบความสามารถของผู้ใช้เป้าหมายในการรับข้อความภายนอก และสร้างเธรดใหม่เพื่อส่งข้อความโดยตรงไปยังกล่องขาเข้า โดยไม่ต้องผ่านหน้าจอยืนยันตามปกติ เมื่อเธรดใหม่เริ่มต้น ข้อความและลิงก์ไฟล์แนบของ Sharepoint จะส่งไปยังผู้ใช้เป้าหมาย หลังจากส่งข้อความเริ่มต้นแล้ว ผู้ส่งสามารถดูและโต้ตอบกับเธรดที่สร้างขึ้นใน Teams GUI ของตน โดยระบุกรณีเฉพาะตามความจำเป็น"

แหล่งข่าวติดต่อไปยัง Microsoft เพื่อแสดงความคิดเห็นเกี่ยวกับผลกระทบของการปล่อย TeamsPhisher เกี่ยวกับแนวทางของพวกเขาในการแก้ไขช่องโหว่ที่ค้นพบ แต่ยังไม่ได้รับคำตอบ JUMPSEC ได้แนะนำให้องค์กรที่ใช้ Microsoft Teams ประเมินความจำเป็นในการเปิดใช้งานการสื่อสารระหว่างผู้ใช้ภายในและผู้เช่าภายนอก "หากคุณไม่ได้สื่อสารกับผู้เช่าภายนอกใน Teams เป็นประจำ ขอแนะนำให้ปรับปรุงการควบคุมความปลอดภัยและปิดใช้งานตัวเลือกนี้ทั้งหมด" บริษัทแนะนำ