Phần mềm độc hại tự động được phân phối qua Công cụ khai thác Microsoft Teams

Đến năm Chance năm Computer Security, Phishing

Dịch sang:

Được mệnh danh là "TeamsPhisher", công cụ này cho phép những người kiểm tra thâm nhập và đối thủ gửi trực tiếp các tệp đe dọa đến người dùng Teams từ môi trường bên ngoài.

Những kẻ tấn công hiện có quyền truy cập vào công cụ " TeamsPhisher " mạnh mẽ để khai thác lỗ hổng được tiết lộ gần đây trong Microsoft Teams. Công cụ này cung cấp một cách liền mạch để phân phối các tệp bị hỏng cho những người dùng cụ thể trong một tổ chức bằng cách sử dụng Teams. Bằng cách tận dụng khả năng giao tiếp giữa người dùng Teams nội bộ và bên ngoài, kẻ tấn công có thể trực tiếp chèn các tải trọng có hại vào hộp thư đến của nạn nhân mà không cần đến các chiến thuật kỹ thuật xã hội hoặc lừa đảo thông thường. Tính khả dụng của công cụ này làm dấy lên mối lo ngại về khả năng gia tăng các cuộc tấn công có mục tiêu và nhấn mạnh tầm quan trọng của việc các tổ chức củng cố các biện pháp bảo mật của họ để bảo vệ chống lại các mối đe dọa như vậy.

Điều kiện tiên quyết và Modus Operandi

Theo nhà phát triển công cụ, Alex Reid, thành viên Đội Đỏ của Hải quân Hoa Kỳ, TeamsPhisher có thể được hướng dẫn tải tệp đính kèm lên Sharepoint của người gửi và tiến hành nhắm mục tiêu danh sách người dùng Nhóm được chỉ định. Quá trình này bao gồm việc cung cấp cho công cụ tệp đính kèm, thông báo và danh sách người dùng mục tiêu. TeamsPhisher sau đó sẽ thực hiện các bước cần thiết để thực hiện các hành động dự định.

TeamsPhisher sử dụng một kỹ thuật được tiết lộ gần đây bởi các nhà nghiên cứu của Phòng thí nghiệm JUMPSEC Max Corbridge và Tom Ellson để khắc phục giới hạn bảo mật trong Microsoft Teams. Mặc dù nền tảng cộng tác cho phép giao tiếp giữa những người dùng từ các tổ chức khác nhau, nhưng việc chia sẻ tệp bị hạn chế. Tuy nhiên, Corbridge và Ellson đã xác định được lỗ hổng Tham chiếu đối tượng trực tiếp không an toàn (IDOR), cho phép họ vượt qua hạn chế này một cách hiệu quả.

Bằng cách thao tác ID của người nhận bên trong và bên ngoài trong yêu cầu POST, họ phát hiện ra rằng tải trọng được gửi theo cách này sẽ nằm trong miền SharePoint của người gửi và đến hộp thư đến Teams của người nhận. Lỗ hổng này ảnh hưởng đến tất cả các tổ chức sử dụng Teams trong cấu hình mặc định, cho phép kẻ tấn công phá vỡ các biện pháp chống lừa đảo và các biện pháp kiểm soát bảo mật khác. Bất chấp sự thừa nhận của Microsoft về sự cố, họ đã coi đây không phải là ưu tiên khắc phục ngay lập tức. Do đó, các tổ chức phải duy trì cảnh giác và thực hiện các biện pháp chủ động để giảm thiểu rủi ro bảo mật tiềm ẩn này.

Công cụ TeamsPhisher của Reid kết hợp các kỹ thuật từ JUMPSEC, Andrea Santese và Secure Systems Engineering GmbH. Nó tận dụng TeamsEnum để liệt kê người dùng và kết hợp các phương thức để truy cập ban đầu. TeamsPhisher xác minh khả năng nhận thư bên ngoài của người dùng mục tiêu và tạo chuỗi mới để gửi thư trực tiếp đến hộp thư đến, bỏ qua màn hình xác nhận thông thường. Khi chủ đề mới đã bắt đầu, thông báo và liên kết tệp đính kèm Sharepoint sẽ được chuyển tới người dùng mục tiêu. Sau khi gửi tin nhắn ban đầu, người gửi có thể xem và tương tác với chuỗi đã tạo trong GUI nhóm của họ, giải quyết mọi trường hợp cụ thể nếu cần."

Các nguồn đã liên hệ với Microsoft để nhận xét về tác động của việc phát hành TeamsPhisher đối với cách tiếp cận của họ để giải quyết lỗ hổng được phát hiện, nhưng vẫn chưa nhận được phản hồi. JUMPSEC đã khuyến nghị rằng các tổ chức sử dụng Microsoft Teams nên đánh giá sự cần thiết của việc cho phép giao tiếp giữa người dùng nội bộ và đối tượng thuê bên ngoài. "Nếu bạn không thường xuyên liên lạc với những người thuê bên ngoài trên Teams, bạn nên tăng cường kiểm soát bảo mật và tắt hoàn toàn tùy chọn này", công ty khuyên.