Член на червения екип на Военноморските сили на САЩ е публикувал инструмент, наречен TeamsPhisher, който използва нерешен проблем със сигурността в Microsoft Teams, за да заобиколи ограниченията за входящи файлове от потребители извън целевата организация, т.нар. външни потребители.

Инструментът се възползва от проблем, на който миналия месец обърнаха внимание Макс Корбридж и Том Елсън от базираната в Обединеното кралство компания за услуги за сигурност Jumpsec, които обясниха как един нападател може лесно да заобиколи ограниченията за изпращане на файлове от Microsoft Teams, за да достави зловреден софтуер от външен акаунт.

Постижението е възможно, тъй като приложението разполага със защити от страна на клиента, които могат да бъдат измамени да третират външен потребител като вътрешен само чрез промяна на идентификатора в POST заявката на дадено съобщение.

Оптимизиране на атаките срещу Teams

‘TeamsPhisher’ е базиран на Python инструмент, който осигурява напълно автоматизирана атака. Той интегрира идеята за атака на изследователите от Jumpsec, техники, разработени от Андреа Сантезе, и функции за удостоверяване и помощни функции от инструмента ‘TeamsEnum’ на Бастиан Канбах.

„Дайте на TeamsPhisher прикачен файл, съобщение и списък с целеви потребители на Teams. Той ще качи прикачения файл в Sharepoint на изпращача и след това ще премине през списъка с мишени“, гласи описанието от Алекс Рийд, разработчик на инструмента на червения екип.

TeamsPhisher първо проверява съществуването на целевия потребител и способността му да получава външни съобщения, което е предпоставка за функционирането на атаката.

След това създава нова тема с целта, изпраща ѝ съобщение с връзка към прикачен файл на Sharepoint. Нишката се появява в интерфейса Teams на изпращача за (потенциално) ръчно взаимодействие.

TeamsPhisher изисква от потребителите да имат бизнес акаунт в Microsoft (поддържа се MFA) с валиден лиценз за Teams и Sharepoint, което е обичайно за много големи компании.

Инструментът предлага и „режим за предварителен преглед“, който помага на потребителите да проверят зададените списъци с цели и да проверят външния вид на съобщенията от гледна точка на получателя.

Други функции и незадължителни аргументи в TeamsPhisher могат да усъвършенстват атаката. Те включват изпращане на защитени връзки към файлове, които могат да бъдат разглеждани само от целевия получател, задаване на закъснение между предаванията на съобщенията, за да се заобиколи ограничаването на скоростта, и записване на резултатите в лог файл.

Нерешен проблем

Проблемът, който експлоатира TeamsPhisher, все още е налице и Microsoft заяви на изследователите от Jumpsec, че той не отговаря на изискванията за незабавно обслужване.

Въпреки че TeamPhisher е създаден за оторизирани операции на червените екипи, хакерите могат да го използват и за доставяне на зловреден софтуер на целеви организации, без да задействат аларми.

Докато Microsoft не реши да предприеме действия по този въпрос, на организациите се препоръчва да деактивират комуникациите с външни потребители, ако не са необходими. Те могат също така да създадат разрешителен списък с доверени домейни, което би ограничило риска от експлоатация.

Снимка: Jumpsec

Източник: По материали от Интернет

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
06/01/2025

Фалшивите CAPTCHA атаки нар...

Експерти по сигурността предупреждават, че през...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!