Търсене
Close this search box.

Грешка в Microsoft Teams позволява заразяване от външни акаунти

Изследователи по сигурността са открили лесен начин за доставяне на зловреден софтуер в организация с Microsoft Teams, въпреки ограниченията в приложението за файлове от външни източници.

С 280 милиона активни потребители месечно Microsoft Teams е възприет от организациите като платформа за комуникация и сътрудничество, част от облачните услуги на Microsoft 365.

Като се има предвид популярността на продукта сред различни организации, Макс Корбридж и Том Елсън – членове на Червения екип в базираната в Обединеното кралство компания за услуги за сигурност Jumpsec, се поразровиха и откриха начин за доставяне на зловреден софтуер чрез Microsoft Teams с акаунт извън целевата организация.

Подробности за атаката

Атаката работи с Microsoft Teams, работещ с конфигурацията по подразбиране, която позволява комуникация с акаунти в Microsoft Teams извън компанията, обикновено наричани „външни потребители“.

В доклада си Corbridge обяснява, че макар този комуникационен мост да е достатъчен за социално инженерство и фишинг атаки, откритият от тях метод е по-мощен, тъй като позволява изпращането на зловреден полезен товар директно в целевата пощенска кутия.

Microsoft Teams разполага със защити от страна на клиента, които блокират доставката на файлове от акаунти на външни акаунти.

Двамата членове на червения екип на Jumpsec обаче са установили, че могат да заобиколят ограничението, като променят идентификатора на вътрешния и външния получател в POST заявката на дадено съобщение, като по този начин заблуждават системата да третира външен потребител като вътрешен.

„Когато изпращате полезния товар по този начин, той всъщност се хоства в домейна Sharepoint и целта го изтегля оттам. Той обаче се появява във входящата поща на целта като файл, а не като връзка.“ – Jumpsec Labs


Изследователите тестваха техниката на терен и успяха успешно да доставят полезен товар за командване и контрол в пощенската кутия на целеви организации, като част от таен ангажимент на червен екип.

Тази атака заобикаля съществуващите мерки за сигурност и съвети за обучение за борба с фишинга, като дава на нападателите доста лесен начин да заразят всяка организация, която използва Microsoft Teams с конфигурацията по подразбиране.

Освен това, ако атакуващият регистрира домейн, подобен на този на целевите организации в Microsoft 365, съобщенията му могат да изглеждат така, сякаш идват от някой в организацията, а не от външен наемателпотребител, като по този начин се увеличава вероятността целта да изтегли файла.

 

Отговорът  на Microsoft

Изследователите съобщават своите открития на Microsoft, като приемат, че въздействието е достатъчно значително, за да гарантира незабавен отговор от страна на технологичния гигант.

Въпреки че Microsoft потвърди съществуването на дефекта, отговорът беше, че „той не отговаря на изискванията за незабавно обслужване“, което означава, че компанията не вижда спешна необходимост от отстраняването му.

Препоръчителното действие за организациите, които използват Microsoft Teams и нямат нужда да поддържат редовна комуникация с външни потребители, е да деактивират тази функция от „Microsoft Teams Admin Center > External Access“.

Ако е необходимо да се поддържат външни канали за комуникация, организациите могат да определят конкретни домейни в списък с разрешения, за да намалят риска от експлоатация.

Изследователите на Jumpsec също така са подали искане за добавяне на събития, свързани с външни потребители, в дневника на софтуера, което би могло да помогне за предотвратяване на атаки в момента на разгръщането им, така че гласувайте за това, ако искате да допринесете за оказване на натиск върху Microsoft да предприеме действия.

Базова информация и снимки: Jumpsec

Източник: По материали от Интернет

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
20 юни 2024

Сериозна уязвимост на Phoenix UEFI

Стотици модели компютри и сървъри, които използват процесори на Int...
20 юни 2024

Измама на Markopolo е насочена към потребителит...

Установен е извършител на заплаха с псевдоним markopolo, който стои...
Бъдете социални
Още по темата
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
21/06/2024

Хакери на Хамас шпионират П...

Хакери, свързани с Хамас, са замесени...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!