Naihatid ang Automated Malware sa pamamagitan ng Microsoft Teams Exploit Tool

Sa pamamagitan ng Chance sa Computer Security, Phishing

Isalin To:

Tinaguriang "TeamsPhisher," binibigyang-daan ng tool ang mga penetration tester at mga kalaban na direktang maghatid ng mga nagbabantang file sa isang user ng Teams mula sa isang panlabas na kapaligiran.

May access na ngayon ang mga attacker sa isang malakas na tool na " TeamsPhisher " na nagsasamantala sa kamakailang ibinunyag na kahinaan sa Microsoft Teams. Nagbibigay ang tool na ito ng tuluy-tuloy na paraan upang maghatid ng mga sirang file sa mga partikular na user sa loob ng isang organisasyon gamit ang Mga Koponan. Sa pamamagitan ng pagsasamantala sa mga kakayahan sa komunikasyon sa pagitan ng mga internal at external na user ng Teams, maaaring direktang ipasok ng mga attacker ang mga mapaminsalang payload sa mga inbox ng mga biktima nang hindi nangangailangan ng kumbensyonal na phishing o social engineering na mga taktika. Ang pagkakaroon ng tool na ito ay nagpapataas ng mga alalahanin tungkol sa potensyal para sa mas mataas na naka-target na pag-atake at itinatampok ang kahalagahan ng mga organisasyon na nagpapatibay sa kanilang mga hakbang sa seguridad upang maprotektahan laban sa mga naturang banta.

Mga Kinakailangan at Modus Operandi

Ayon sa developer ng tool, si Alex Reid, isang miyembro ng US Navy Red Team, maaaring turuan ang TeamsPhisher na mag-upload ng attachment sa Sharepoint ng nagpadala at magpatuloy sa pag-target ng isang tinukoy na listahan ng mga user ng Teams. Kasama sa prosesong ito ang pagbibigay sa tool ng isang attachment, isang mensahe, at isang listahan ng mga target na user. Pagkatapos ay isasagawa ng TeamsPhisher ang mga kinakailangang hakbang upang maisagawa ang mga nilalayong aksyon.

Gumagamit ang TeamsPhisher ng diskarteng inihayag kamakailan ng mga mananaliksik ng JUMPSEC Labs na sina Max Corbridge at Tom Ellson upang malampasan ang isang limitasyon sa seguridad sa Microsoft Teams. Habang pinahihintulutan ng platform ng pakikipagtulungan ang komunikasyon sa pagitan ng mga user mula sa iba't ibang organisasyon, pinaghihigpitan ang pagbabahagi ng file. Gayunpaman, natukoy nina Corbridge at Ellson ang isang kahinaan ng Insecure Direct Object Reference (IDOR), na nagbigay-daan sa kanilang mabisang laktawan ang paghihigpit na ito.

Sa pamamagitan ng pagmamanipula sa ID ng panloob at panlabas na tatanggap sa isang kahilingan sa POST, natuklasan nila na ang isang payload na ipinadala sa ganitong paraan ay mananatili sa SharePoint domain ng nagpadala at mapupunta sa inbox ng Mga Koponan ng tatanggap. Nakakaapekto ang kahinaang ito sa lahat ng organisasyong gumagamit ng Mga Koponan sa isang default na configuration, na nagbibigay-daan sa mga umaatake na iwasan ang mga hakbang laban sa phishing at iba pang mga kontrol sa seguridad. Sa kabila ng pag-amin ng Microsoft sa isyu, itinuring nilang hindi ito isang agarang priyoridad para sa remediation. Bilang resulta, ang mga organisasyon ay dapat manatiling mapagbantay at gumawa ng mga proactive na hakbang upang mapagaan ang potensyal na panganib sa seguridad na ito.

Pinagsasama ng tool ng TeamsPhisher ni Reid ang mga diskarte mula sa JUMPSEC, Andrea Santese, at Secure Systems Engineering GmbH. Ginagamit nito ang TeamsEnum para sa enumeration ng user at isinasama ang mga pamamaraan para sa paunang pag-access. Bine-verify ng TeamsPhisher ang kakayahan ng isang target na user na makatanggap ng mga panlabas na mensahe at gumagawa ng bagong thread upang direktang maihatid ang mensahe sa inbox, na lumalampas sa karaniwang screen ng kumpirmasyon. Kapag nagsimula na ang bagong thread, mapupunta ang mensahe at ang link ng attachment ng Sharepoint sa target na user. Pagkatapos ipadala ang paunang mensahe, maaaring tingnan at makipag-ugnayan ng nagpadala sa nilikhang thread sa kanilang Teams GUI, na tumutugon sa anumang partikular na mga kaso kung kinakailangan."

Naabot ng mga mapagkukunan ang Microsoft para sa komento sa epekto ng paglabas ng TeamsPhisher sa kanilang diskarte sa pagtugon sa natuklasang kahinaan, ngunit wala pang natatanggap na tugon. Inirerekomenda ng JUMPSEC na tasahin ng mga organisasyong gumagamit ng Microsoft Teams ang pangangailangan ng pagpapagana ng komunikasyon sa pagitan ng mga panloob na user at mga panlabas na nangungupahan. "Kung hindi ka regular na nakikipag-ugnayan sa mga panlabas na nangungupahan sa Mga Koponan, ipinapayong pahusayin ang iyong mga kontrol sa seguridad at ganap na huwag paganahin ang opsyong ito," payo ng kumpanya.