Автоматизоване зловмисне програмне забезпечення, доставлене через Microsoft Teams Exploit Tool

До Chance року в Computer Security, Phishing році

Перекласти на:

Цей інструмент під назвою «TeamsPhisher» дозволяє тестувальникам проникнення та зловмисникам доставляти загрозливі файли безпосередньо користувачеві Teams із зовнішнього середовища.

Тепер зловмисники мають доступ до потужного інструменту TeamsPhisher, який використовує нещодавно виявлену вразливість у Microsoft Teams. Цей інструмент забезпечує безпроблемний спосіб доставки пошкоджених файлів певним користувачам в організації за допомогою Teams. Використовуючи переваги комунікаційних можливостей між внутрішніми та зовнішніми користувачами Teams, зловмисники можуть безпосередньо вставляти шкідливі дані у вхідні скриньки жертв, не потребуючи звичайних тактик фішингу чи соціальної інженерії. Доступність цього інструменту викликає занепокоєння щодо можливого посилення цілеспрямованих атак і підкреслює важливість того, щоб організації посилили заходи безпеки для захисту від таких загроз.

Передумови та спосіб дії

За словами розробника інструменту Алекса Рейда, члена військово-морської команди США, TeamsPhisher можна доручити завантажити вкладений файл у Sharepoint відправника та продовжити націлювання на вказаний список користувачів Teams. Цей процес передбачає надання інструменту вкладення, повідомлення та списку цільових користувачів. Потім TeamsPhisher виконає необхідні кроки для виконання запланованих дій.

TeamsPhisher використовує техніку, яку нещодавно розкрили дослідники JUMPSEC Labs Макс Корбрідж і Том Еллсон, щоб подолати обмеження безпеки в Microsoft Teams. Хоча платформа для співпраці дозволяє спілкуватися між користувачами з різних організацій, обмін файлами обмежений. Однак Корбрідж і Еллсон виявили вразливість Insecure Direct Object Reference (IDOR), яка дозволила їм ефективно обійти це обмеження.

Маніпулюючи ідентифікатором внутрішнього та зовнішнього одержувача в запиті POST, вони виявили, що корисне навантаження, надіслане таким чином, знаходитиметься в домені SharePoint відправника та потраплятиме у папку вхідних команд одержувача. Ця вразливість впливає на всі організації, які використовують Teams у конфігурації за замовчуванням, дозволяючи зловмисникам обійти засоби захисту від фішингу та інші засоби безпеки. Незважаючи на те, що корпорація Майкрософт визнала проблему, вона не вважає її першочерговим завданням для усунення. У результаті організації повинні залишатися пильними та вживати профілактичних заходів для пом’якшення цього потенційного ризику безпеці.

Інструмент TeamsPhisher від Рейда поєднує методи від JUMPSEC, Andrea Santese та Secure Systems Engineering GmbH. Він використовує TeamsEnum для перерахування користувачів і включає методи для початкового доступу. TeamsPhisher перевіряє здатність цільового користувача отримувати зовнішні повідомлення та створює новий ланцюжок для доставки повідомлення безпосередньо до папки «Вхідні», минаючи звичайний екран підтвердження. Після початку нового ланцюжка повідомлення та посилання на вкладення Sharepoint перейдуть до цільового користувача. Після надсилання початкового повідомлення відправник може переглядати створений потік і взаємодіяти з ним у своєму графічному інтерфейсі Teams, вирішуючи будь-які конкретні випадки, якщо це необхідно».

Джерела звернулися до Microsoft, щоб прокоментувати вплив випуску TeamsPhisher на їхній підхід до усунення виявленої вразливості, але відповідь ще не отримана. JUMPSEC рекомендував організаціям, які використовують Microsoft Teams, оцінити необхідність увімкнення зв’язку між внутрішніми користувачами та зовнішніми орендарями. «Якщо ви не спілкуєтеся регулярно із зовнішніми клієнтами в Teams, доцільно посилити контроль безпеки та повністю вимкнути цю опцію», — порадила компанія.