Търсене
Close this search box.

Грешка в Microsoft Teams позволява заразяване от външни акаунти

Изследователи по сигурността са открили лесен начин за доставяне на зловреден софтуер в организация с Microsoft Teams, въпреки ограниченията в приложението за файлове от външни източници.

С 280 милиона активни потребители месечно Microsoft Teams е възприет от организациите като платформа за комуникация и сътрудничество, част от облачните услуги на Microsoft 365.

Като се има предвид популярността на продукта сред различни организации, Макс Корбридж и Том Елсън – членове на Червения екип в базираната в Обединеното кралство компания за услуги за сигурност Jumpsec, се поразровиха и откриха начин за доставяне на зловреден софтуер чрез Microsoft Teams с акаунт извън целевата организация.

Подробности за атаката

Атаката работи с Microsoft Teams, работещ с конфигурацията по подразбиране, която позволява комуникация с акаунти в Microsoft Teams извън компанията, обикновено наричани „външни потребители“.

В доклада си Corbridge обяснява, че макар този комуникационен мост да е достатъчен за социално инженерство и фишинг атаки, откритият от тях метод е по-мощен, тъй като позволява изпращането на зловреден полезен товар директно в целевата пощенска кутия.

Microsoft Teams разполага със защити от страна на клиента, които блокират доставката на файлове от акаунти на външни акаунти.

Двамата членове на червения екип на Jumpsec обаче са установили, че могат да заобиколят ограничението, като променят идентификатора на вътрешния и външния получател в POST заявката на дадено съобщение, като по този начин заблуждават системата да третира външен потребител като вътрешен.

„Когато изпращате полезния товар по този начин, той всъщност се хоства в домейна Sharepoint и целта го изтегля оттам. Той обаче се появява във входящата поща на целта като файл, а не като връзка.“ – Jumpsec Labs


Изследователите тестваха техниката на терен и успяха успешно да доставят полезен товар за командване и контрол в пощенската кутия на целеви организации, като част от таен ангажимент на червен екип.

Тази атака заобикаля съществуващите мерки за сигурност и съвети за обучение за борба с фишинга, като дава на нападателите доста лесен начин да заразят всяка организация, която използва Microsoft Teams с конфигурацията по подразбиране.

Освен това, ако атакуващият регистрира домейн, подобен на този на целевите организации в Microsoft 365, съобщенията му могат да изглеждат така, сякаш идват от някой в организацията, а не от външен наемателпотребител, като по този начин се увеличава вероятността целта да изтегли файла.

 

Отговорът  на Microsoft

Изследователите съобщават своите открития на Microsoft, като приемат, че въздействието е достатъчно значително, за да гарантира незабавен отговор от страна на технологичния гигант.

Въпреки че Microsoft потвърди съществуването на дефекта, отговорът беше, че „той не отговаря на изискванията за незабавно обслужване“, което означава, че компанията не вижда спешна необходимост от отстраняването му.

Препоръчителното действие за организациите, които използват Microsoft Teams и нямат нужда да поддържат редовна комуникация с външни потребители, е да деактивират тази функция от „Microsoft Teams Admin Center > External Access“.

Ако е необходимо да се поддържат външни канали за комуникация, организациите могат да определят конкретни домейни в списък с разрешения, за да намалят риска от експлоатация.

Изследователите на Jumpsec също така са подали искане за добавяне на събития, свързани с външни потребители, в дневника на софтуера, което би могло да помогне за предотвратяване на атаки в момента на разгръщането им, така че гласувайте за това, ако искате да допринесете за оказване на натиск върху Microsoft да предприеме действия.

Базова информация и снимки: Jumpsec

Източник: По материали от Интернет

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
27/02/2024

ThyssenKrupp потвърждава ки...

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата...
27/02/2024

SubdoMailing - развива се а...

Мащабна кампания за рекламни измами, наречена...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!