أصبح لدى المهاجمين الذين لديهم وصول أولي إلى شبكة الضحية الآن طريقة أخرى لتوسيع نطاق وصولهم: استخدام رموز الوصول من مستخدمي Microsoft Teams الآخرين لانتحال شخصية هؤلاء الموظفين واستغلال ثقتهم.
هذا وفقًا لشركة الأمان Vectra، التي ذكرت في تقرير استشاري بتاريخ 13 سبتمبر أن Microsoft Teams يقوم بتخزين رموز المصادقة المميزة غير مشفرة، مما يسمح لأي مستخدم بالوصول إلى ملف الأسرار دون الحاجة إلى أذونات خاصة. وفقًا للشركة، يمكن للمهاجم الذي يتمتع بإمكانية الوصول إلى النظام المحلي أو البعيد سرقة بيانات الاعتماد لأي مستخدمين متصلين حاليًا وانتحال شخصيتهم، حتى عندما يكونون غير متصلين بالإنترنت، وانتحال شخصية المستخدم من خلال أي ميزة مرتبطة، مثل Skype، وتجاوز المصادقة متعددة العوامل ( وزارة الخارجية).
يقول كونور بيبولز، مهندس الأمن في شركة Vectra، وهي شركة للأمن السيبراني مقرها سان خوسيه، كاليفورنيا، إن هذا الضعف يمنح المهاجمين القدرة على التحرك عبر شبكة الشركة بسهولة أكبر.
ويضيف: "يتيح هذا أشكالًا متعددة من الهجمات، بما في ذلك التلاعب بالبيانات، والتصيد الاحتيالي، وتسوية الهوية، ويمكن أن يؤدي إلى انقطاع الأعمال من خلال تطبيق الهندسة الاجتماعية الصحيحة على الوصول"، مشيرًا إلى أن المهاجمين يمكنهم "التلاعب بالاتصالات المشروعة داخل المؤسسة". من خلال التدمير الانتقائي أو التسلل أو الانخراط في هجمات التصيد المستهدفة.
اكتشفت Vectra المشكلة عندما قام باحثو الشركة بفحص Microsoft Teams نيابة عن العميل، بحثًا عن طرق لحذف المستخدمين غير النشطين، وهو إجراء لا يسمح به Teams عادةً. وبدلاً من ذلك، وجد الباحثون أن هناك ملفًا قام بتخزين رموز الوصول المميزة بنص واضح، مما منحهم القدرة على الاتصال بـ Skype وOutlook من خلال واجهات برمجة التطبيقات الخاصة بهم. نظرًا لأن Microsoft Teams يجمع مجموعة متنوعة من الخدمات - بما في ذلك تلك التطبيقات وSharePoint وغيرها - التي يتطلب البرنامج رموزًا مميزة للوصول إليها، فإن Vectra جاء في الاستشارية.
باستخدام الرموز المميزة، لا يستطيع المهاجم الوصول إلى أي خدمة كمستخدم متصل بالإنترنت حاليًا فحسب، بل يمكنه أيضًا تجاوز MFA لأن وجود رمز مميز صالح يعني عادةً أن المستخدم قد قدم عاملاً ثانيًا.
وفي النهاية، لا يتطلب الهجوم أذونات خاصة أو برامج ضارة متقدمة لمنح المهاجمين وصولاً كافيًا لإحداث صعوبات داخلية للشركة المستهدفة، حسبما ذكر الاستشارة.
وذكرت الشركة في التحذير: "مع وجود ما يكفي من الأجهزة المخترقة، يمكن للمهاجمين تنسيق الاتصالات داخل المؤسسة". "بافتراض السيطرة الكاملة على المناصب المهمة - مثل رئيس قسم الهندسة أو المدير التنفيذي أو المدير المالي للشركة - يمكن للمهاجمين إقناع المستخدمين بأداء مهام تضر بالمؤسسة. كيف يمكنك ممارسة اختبار التصيد الاحتيالي لهذا الغرض؟
مايكروسوفت: لا حاجة للتصحيح
واعترفت مايكروسوفت بالمشكلات، لكنها قالت إن حقيقة أن المهاجم يحتاج إلى اختراق نظام على الشبكة المستهدفة بالفعل، قللت من التهديد الذي يمثله، واختارت عدم التصحيح.
وقال متحدث باسم Microsoft في بيان أرسل إلى Dark Reading: "إن التقنية الموصوفة لا تلبي متطلباتنا الخاصة بالخدمة الفورية لأنها تتطلب من المهاجم الوصول أولاً إلى الشبكة المستهدفة". "نحن نقدر شراكة Vectra Protect في تحديد هذه المشكلة والكشف عنها بشكل مسؤول وسنفكر في معالجتها في إصدار المنتج المستقبلي."
في عام 2019، تم إصدار مشروع أمان تطبيقات الويب المفتوحة (OWASP). قائمة أهم 10 مشكلات تتعلق بأمان واجهة برمجة التطبيقات (API).. يمكن اعتبار المشكلة الحالية إما مصادقة مستخدم معطلة أو خطأ في التكوين الأمني، وهما المشكلتان اللتان تحتلان المرتبة الثانية والسابعة في القائمة.
يقول جون بامبينيك، صائد التهديدات الرئيسي في شركة Netenrich، وهي شركة تقدم خدمات العمليات الأمنية والتحليلات: "أرى أن هذه الثغرة الأمنية هي وسيلة أخرى للحركة الجانبية في المقام الأول - وهي في الأساس وسيلة أخرى لأداة من نوع Mimikatz".
أحد الأسباب الرئيسية لوجود الضعف الأمني هو أن Microsoft Teams يعتمد على إطار عمل تطبيق Electron، والذي يسمح للشركات بإنشاء برامج تعتمد على JavaScript وHTML وCSS. ومع ابتعاد الشركة عن تلك المنصة، ستكون قادرة على القضاء على الثغرة الأمنية، كما تقول شركة Vectra's Peoples.
ويقول: "تبذل Microsoft جهدًا قويًا للتحرك نحو تطبيقات الويب التقدمية، الأمر الذي من شأنه أن يخفف من العديد من المخاوف التي تثيرها شركة Electron حاليًا". "بدلاً من إعادة تصميم تطبيق Electron، أعتقد أنهم يكرسون المزيد من الموارد للحالة المستقبلية."
توصي Vectra الشركات باستخدام الإصدار المستند إلى المتصفح من Microsoft Teams، والذي يحتوي على ضوابط أمنية كافية لمنع استغلال المشكلات. يجب على العملاء الذين يحتاجون إلى استخدام تطبيق سطح المكتب "مشاهدة ملفات التطبيق الرئيسية للوصول إليها من خلال أي عمليات أخرى غير تطبيق Teams الرسمي"، حسبما ذكرت Vectra في الاستشارة.
