Член на червения екип на Военноморските сили на САЩ е публикувал инструмент, наречен TeamsPhisher, който използва нерешен проблем със сигурността в Microsoft Teams, за да заобиколи ограниченията за входящи файлове от потребители извън целевата организация, т.нар. външни потребители.
Инструментът се възползва от проблем, на който миналия месец обърнаха внимание Макс Корбридж и Том Елсън от базираната в Обединеното кралство компания за услуги за сигурност Jumpsec, които обясниха как един нападател може лесно да заобиколи ограниченията за изпращане на файлове от Microsoft Teams, за да достави зловреден софтуер от външен акаунт.
Постижението е възможно, тъй като приложението разполага със защити от страна на клиента, които могат да бъдат измамени да третират външен потребител като вътрешен само чрез промяна на идентификатора в POST заявката на дадено съобщение.
‘TeamsPhisher’ е базиран на Python инструмент, който осигурява напълно автоматизирана атака. Той интегрира идеята за атака на изследователите от Jumpsec, техники, разработени от Андреа Сантезе, и функции за удостоверяване и помощни функции от инструмента ‘TeamsEnum’ на Бастиан Канбах.
„Дайте на TeamsPhisher прикачен файл, съобщение и списък с целеви потребители на Teams. Той ще качи прикачения файл в Sharepoint на изпращача и след това ще премине през списъка с мишени“, гласи описанието от Алекс Рийд, разработчик на инструмента на червения екип.
TeamsPhisher първо проверява съществуването на целевия потребител и способността му да получава външни съобщения, което е предпоставка за функционирането на атаката.
След това създава нова тема с целта, изпраща ѝ съобщение с връзка към прикачен файл на Sharepoint. Нишката се появява в интерфейса Teams на изпращача за (потенциално) ръчно взаимодействие.
TeamsPhisher изисква от потребителите да имат бизнес акаунт в Microsoft (поддържа се MFA) с валиден лиценз за Teams и Sharepoint, което е обичайно за много големи компании.
Инструментът предлага и „режим за предварителен преглед“, който помага на потребителите да проверят зададените списъци с цели и да проверят външния вид на съобщенията от гледна точка на получателя.
Други функции и незадължителни аргументи в TeamsPhisher могат да усъвършенстват атаката. Те включват изпращане на защитени връзки към файлове, които могат да бъдат разглеждани само от целевия получател, задаване на закъснение между предаванията на съобщенията, за да се заобиколи ограничаването на скоростта, и записване на резултатите в лог файл.
Проблемът, който експлоатира TeamsPhisher, все още е налице и Microsoft заяви на изследователите от Jumpsec, че той не отговаря на изискванията за незабавно обслужване.
Въпреки че TeamPhisher е създаден за оторизирани операции на червените екипи, хакерите могат да го използват и за доставяне на зловреден софтуер на целеви организации, без да задействат аларми.
Докато Microsoft не реши да предприеме действия по този въпрос, на организациите се препоръчва да деактивират комуникациите с външни потребители, ако не са необходими. Те могат също така да създадат разрешителен списък с доверени домейни, което би ограничило риска от експлоатация.
Снимка: Jumpsec
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.