Изследователи по сигурността са открили лесен начин за доставяне на зловреден софтуер в организация с Microsoft Teams, въпреки ограниченията в приложението за файлове от външни източници.
С 280 милиона активни потребители месечно Microsoft Teams е възприет от организациите като платформа за комуникация и сътрудничество, част от облачните услуги на Microsoft 365.
Като се има предвид популярността на продукта сред различни организации, Макс Корбридж и Том Елсън – членове на Червения екип в базираната в Обединеното кралство компания за услуги за сигурност Jumpsec, се поразровиха и откриха начин за доставяне на зловреден софтуер чрез Microsoft Teams с акаунт извън целевата организация.
Атаката работи с Microsoft Teams, работещ с конфигурацията по подразбиране, която позволява комуникация с акаунти в Microsoft Teams извън компанията, обикновено наричани „външни потребители“.
В доклада си Corbridge обяснява, че макар този комуникационен мост да е достатъчен за социално инженерство и фишинг атаки, откритият от тях метод е по-мощен, тъй като позволява изпращането на зловреден полезен товар директно в целевата пощенска кутия.
Microsoft Teams разполага със защити от страна на клиента, които блокират доставката на файлове от акаунти на външни акаунти.
Двамата членове на червения екип на Jumpsec обаче са установили, че могат да заобиколят ограничението, като променят идентификатора на вътрешния и външния получател в POST заявката на дадено съобщение, като по този начин заблуждават системата да третира външен потребител като вътрешен.
„Когато изпращате полезния товар по този начин, той всъщност се хоства в домейна Sharepoint и целта го изтегля оттам. Той обаче се появява във входящата поща на целта като файл, а не като връзка.“ – Jumpsec Labs
Изследователите тестваха техниката на терен и успяха успешно да доставят полезен товар за командване и контрол в пощенската кутия на целеви организации, като част от таен ангажимент на червен екип.
Тази атака заобикаля съществуващите мерки за сигурност и съвети за обучение за борба с фишинга, като дава на нападателите доста лесен начин да заразят всяка организация, която използва Microsoft Teams с конфигурацията по подразбиране.
Освен това, ако атакуващият регистрира домейн, подобен на този на целевите организации в Microsoft 365, съобщенията му могат да изглеждат така, сякаш идват от някой в организацията, а не от външен наемателпотребител, като по този начин се увеличава вероятността целта да изтегли файла.
Изследователите съобщават своите открития на Microsoft, като приемат, че въздействието е достатъчно значително, за да гарантира незабавен отговор от страна на технологичния гигант.
Въпреки че Microsoft потвърди съществуването на дефекта, отговорът беше, че „той не отговаря на изискванията за незабавно обслужване“, което означава, че компанията не вижда спешна необходимост от отстраняването му.
Препоръчителното действие за организациите, които използват Microsoft Teams и нямат нужда да поддържат редовна комуникация с външни потребители, е да деактивират тази функция от „Microsoft Teams Admin Center > External Access“.
Ако е необходимо да се поддържат външни канали за комуникация, организациите могат да определят конкретни домейни в списък с разрешения, за да намалят риска от експлоатация.
Изследователите на Jumpsec също така са подали искане за добавяне на събития, свързани с външни потребители, в дневника на софтуера, което би могло да помогне за предотвратяване на атаки в момента на разгръщането им, така че гласувайте за това, ако искате да допринесете за оказване на натиск върху Microsoft да предприеме действия.
Базова информация и снимки: Jumpsec
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.