Изследователи по сигурността са открили лесен начин за доставяне на зловреден софтуер в организация с Microsoft Teams, въпреки ограниченията в приложението за файлове от външни източници.

С 280 милиона активни потребители месечно Microsoft Teams е възприет от организациите като платформа за комуникация и сътрудничество, част от облачните услуги на Microsoft 365.

Като се има предвид популярността на продукта сред различни организации, Макс Корбридж и Том Елсън – членове на Червения екип в базираната в Обединеното кралство компания за услуги за сигурност Jumpsec, се поразровиха и откриха начин за доставяне на зловреден софтуер чрез Microsoft Teams с акаунт извън целевата организация.

Подробности за атаката

Атаката работи с Microsoft Teams, работещ с конфигурацията по подразбиране, която позволява комуникация с акаунти в Microsoft Teams извън компанията, обикновено наричани „външни потребители“.

В доклада си Corbridge обяснява, че макар този комуникационен мост да е достатъчен за социално инженерство и фишинг атаки, откритият от тях метод е по-мощен, тъй като позволява изпращането на зловреден полезен товар директно в целевата пощенска кутия.

Microsoft Teams разполага със защити от страна на клиента, които блокират доставката на файлове от акаунти на външни акаунти.

Двамата членове на червения екип на Jumpsec обаче са установили, че могат да заобиколят ограничението, като променят идентификатора на вътрешния и външния получател в POST заявката на дадено съобщение, като по този начин заблуждават системата да третира външен потребител като вътрешен.

„Когато изпращате полезния товар по този начин, той всъщност се хоства в домейна Sharepoint и целта го изтегля оттам. Той обаче се появява във входящата поща на целта като файл, а не като връзка.“ – Jumpsec Labs


Изследователите тестваха техниката на терен и успяха успешно да доставят полезен товар за командване и контрол в пощенската кутия на целеви организации, като част от таен ангажимент на червен екип.

Тази атака заобикаля съществуващите мерки за сигурност и съвети за обучение за борба с фишинга, като дава на нападателите доста лесен начин да заразят всяка организация, която използва Microsoft Teams с конфигурацията по подразбиране.

Освен това, ако атакуващият регистрира домейн, подобен на този на целевите организации в Microsoft 365, съобщенията му могат да изглеждат така, сякаш идват от някой в организацията, а не от външен наемателпотребител, като по този начин се увеличава вероятността целта да изтегли файла.

 

Отговорът  на Microsoft

Изследователите съобщават своите открития на Microsoft, като приемат, че въздействието е достатъчно значително, за да гарантира незабавен отговор от страна на технологичния гигант.

Въпреки че Microsoft потвърди съществуването на дефекта, отговорът беше, че „той не отговаря на изискванията за незабавно обслужване“, което означава, че компанията не вижда спешна необходимост от отстраняването му.

Препоръчителното действие за организациите, които използват Microsoft Teams и нямат нужда да поддържат редовна комуникация с външни потребители, е да деактивират тази функция от „Microsoft Teams Admin Center > External Access“.

Ако е необходимо да се поддържат външни канали за комуникация, организациите могат да определят конкретни домейни в списък с разрешения, за да намалят риска от експлоатация.

Изследователите на Jumpsec също така са подали искане за добавяне на събития, свързани с външни потребители, в дневника на софтуера, което би могло да помогне за предотвратяване на атаки в момента на разгръщането им, така че гласувайте за това, ако искате да допринесете за оказване на натиск върху Microsoft да предприеме действия.

Базова информация и снимки: Jumpsec

Източник: По материали от Интернет

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
6 февруари 2025

Нападателите се насочват към образователния сек...

Кампания за фишинг се възползва от услугата Microsoft Active Direct...
Бъдете социални
Още по темата
07/02/2025

Zimperium откри 1 000 прило...

Фирмата за мобилна сигурност Zimperium е...
06/02/2025

Нападателите се насочват къ...

Кампания за фишинг се възползва от...
03/02/2025

Потребители на WhatsApp, от...

В петък служител на WhatsApp в...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!