Microsoft Teams Exploit Tool Aracılığıyla Sunulan Otomatik Kötü Amaçlı Yazılım

Chance'de Computer Security, Phishing'de

Çevir:

"TeamsPhisher" olarak adlandırılan araç, sızma testçilerinin ve rakiplerin tehdit edici dosyaları dış ortamdan doğrudan bir Teams kullanıcısına teslim etmesine olanak tanır.

Saldırganlar artık Microsoft Teams'de yakın zamanda açıklanan bir güvenlik açığından yararlanan güçlü bir " TeamsPhisher " aracına erişebilirler. Bu araç, Teams kullanan bir kuruluştaki belirli kullanıcılara bozuk dosyaları teslim etmenin sorunsuz bir yolunu sağlar. Saldırganlar, dahili ve harici Teams kullanıcıları arasındaki iletişim özelliklerinden yararlanarak, geleneksel kimlik avı veya sosyal mühendislik taktiklerine ihtiyaç duymadan doğrudan kurbanların gelen kutularına zararlı yükler ekleyebilir. Bu aracın kullanılabilirliği, artan hedefli saldırı potansiyeli hakkında endişeleri artırıyor ve kuruluşların bu tür tehditlere karşı korunmak için güvenlik önlemlerini güçlendirmesinin önemini vurguluyor.

Önkoşullar ve İşleyiş Yöntemleri

Aracın geliştiricisi, ABD Donanması Red Team üyesi Alex Reid'e göre, TeamsPhisher'a gönderenin Sharepoint'ine bir ek yüklemesi ve belirli bir Teams kullanıcıları listesini hedeflemeye devam etmesi talimatı verilebilir. Bu süreç, araca bir ek, bir mesaj ve hedef kullanıcıların bir listesini sağlamayı içerir. TeamsPhisher daha sonra amaçlanan eylemleri gerçekleştirmek için gerekli adımları gerçekleştirecektir.

TeamsPhisher, Microsoft Teams'deki bir güvenlik sınırlamasının üstesinden gelmek için JUMPSEC Labs araştırmacıları Max Corbridge ve Tom Ellson tarafından yakın zamanda ortaya çıkarılan bir tekniği kullanır. İşbirliği platformu, farklı kuruluşlardan kullanıcılar arasında iletişime izin verirken, dosya paylaşımı kısıtlanmıştır. Ancak Corbridge ve Ellson, bu kısıtlamayı etkili bir şekilde aşmalarına izin veren bir Güvenli Olmayan Doğrudan Nesne Referansı (IDOR) güvenlik açığı belirledi.

Bir POST isteğinde dahili ve harici alıcının kimliğini değiştirerek, bu şekilde gönderilen bir yükün gönderenin SharePoint etki alanında bulunacağını ve alıcının Teams gelen kutusuna ineceğini keşfettiler. Bu güvenlik açığı, Teams'i varsayılan bir yapılandırmada kullanan tüm kuruluşları etkileyerek saldırganların kimlik avı önleme önlemlerini ve diğer güvenlik denetimlerini atlatmasına olanak tanır. Microsoft'un sorunu kabul etmesine rağmen, bunun düzeltme için acil bir öncelik olmadığını düşündüler. Sonuç olarak, kuruluşlar bu potansiyel güvenlik riskini azaltmak için tetikte olmalı ve proaktif önlemler almalıdır.

Reid'in TeamsPhisher aracı, JUMPSEC, Andrea Santese ve Secure Systems Engineering GmbH'nin tekniklerini birleştirir. Kullanıcı sıralaması için TeamsEnum'dan yararlanır ve ilk erişim için yöntemler içerir. TeamsPhisher, hedef kullanıcının harici mesajları alma yeteneğini doğrular ve normal onay ekranını atlayarak mesajı doğrudan gelen kutusuna teslim etmek için yeni bir ileti dizisi oluşturur. Yeni ileti dizisi başladığında, mesaj ve Sharepoint eki bağlantısı hedef kullanıcıya gidecektir. İlk iletiyi gönderdikten sonra, gönderen, Teams GUI'sinde oluşturulan ileti dizisini görüntüleyebilir ve bunlarla etkileşim kurabilir ve gerektiğinde belirli durumları ele alabilir."

Kaynaklar, TeamsPhisher'ın sürümünün keşfedilen güvenlik açığını ele alma yaklaşımları üzerindeki etkisi hakkında yorum yapmak için Microsoft'a ulaştı, ancak henüz bir yanıt alınmadı. JUMPSEC, Microsoft Teams kullanan kuruluşların dahili kullanıcılar ve harici kiracılar arasında iletişim sağlamanın gerekliliğini değerlendirmesini tavsiye etti. Şirket, "Teams'ta harici kiracılarla düzenli olarak iletişim kurmuyorsanız, güvenlik kontrollerinizi geliştirmeniz ve bu seçeneği tamamen devre dışı bırakmanız önerilir."