Член на червения екип на Военноморските сили на САЩ е публикувал инструмент, наречен TeamsPhisher, който използва нерешен проблем със сигурността в Microsoft Teams, за да заобиколи ограниченията за входящи файлове от потребители извън целевата организация, т.нар. външни потребители.

Инструментът се възползва от проблем, на който миналия месец обърнаха внимание Макс Корбридж и Том Елсън от базираната в Обединеното кралство компания за услуги за сигурност Jumpsec, които обясниха как един нападател може лесно да заобиколи ограниченията за изпращане на файлове от Microsoft Teams, за да достави зловреден софтуер от външен акаунт.

Постижението е възможно, тъй като приложението разполага със защити от страна на клиента, които могат да бъдат измамени да третират външен потребител като вътрешен само чрез промяна на идентификатора в POST заявката на дадено съобщение.

Оптимизиране на атаките срещу Teams

‘TeamsPhisher’ е базиран на Python инструмент, който осигурява напълно автоматизирана атака. Той интегрира идеята за атака на изследователите от Jumpsec, техники, разработени от Андреа Сантезе, и функции за удостоверяване и помощни функции от инструмента ‘TeamsEnum’ на Бастиан Канбах.

„Дайте на TeamsPhisher прикачен файл, съобщение и списък с целеви потребители на Teams. Той ще качи прикачения файл в Sharepoint на изпращача и след това ще премине през списъка с мишени“, гласи описанието от Алекс Рийд, разработчик на инструмента на червения екип.

TeamsPhisher първо проверява съществуването на целевия потребител и способността му да получава външни съобщения, което е предпоставка за функционирането на атаката.

След това създава нова тема с целта, изпраща ѝ съобщение с връзка към прикачен файл на Sharepoint. Нишката се появява в интерфейса Teams на изпращача за (потенциално) ръчно взаимодействие.

TeamsPhisher изисква от потребителите да имат бизнес акаунт в Microsoft (поддържа се MFA) с валиден лиценз за Teams и Sharepoint, което е обичайно за много големи компании.

Инструментът предлага и „режим за предварителен преглед“, който помага на потребителите да проверят зададените списъци с цели и да проверят външния вид на съобщенията от гледна точка на получателя.

Други функции и незадължителни аргументи в TeamsPhisher могат да усъвършенстват атаката. Те включват изпращане на защитени връзки към файлове, които могат да бъдат разглеждани само от целевия получател, задаване на закъснение между предаванията на съобщенията, за да се заобиколи ограничаването на скоростта, и записване на резултатите в лог файл.

Нерешен проблем

Проблемът, който експлоатира TeamsPhisher, все още е налице и Microsoft заяви на изследователите от Jumpsec, че той не отговаря на изискванията за незабавно обслужване.

Въпреки че TeamPhisher е създаден за оторизирани операции на червените екипи, хакерите могат да го използват и за доставяне на зловреден софтуер на целеви организации, без да задействат аларми.

Докато Microsoft не реши да предприеме действия по този въпрос, на организациите се препоръчва да деактивират комуникациите с външни потребители, ако не са необходими. Те могат също така да създадат разрешителен списък с доверени домейни, което би ограничило риска от експлоатация.

Снимка: Jumpsec