Angribere, der får første adgang til et offers netværk, har nu en anden metode til at udvide deres rækkevidde: Brug af adgangstokens fra andre Microsoft Teams-brugere til at efterligne disse medarbejdere og udnytte deres tillid.
Det siger sikkerhedsfirmaet Vectra, som i en meddelelse den 13. september udtalte, at Microsoft Teams gemmer autentificeringstokens ukrypteret, hvilket giver enhver bruger mulighed for at få adgang til hemmelighedsfilen uden behov for særlige tilladelser. Ifølge firmaet kan en angriber med lokal eller ekstern systemadgang stjæle legitimationsoplysningerne for alle aktuelt onlinebrugere og efterligne dem, selv når de er offline, og efterligne brugeren gennem enhver tilknyttet funktion, såsom Skype, og omgå multifaktorgodkendelse ( MFA).
Svagheden giver angribere mulighed for at bevæge sig gennem en virksomheds netværk meget lettere, siger Connor Peoples, sikkerhedsarkitekt hos Vectra, et San Jose, Californien-baseret cybersikkerhedsfirma.
"Dette muliggør flere former for angreb, herunder datamanipulation, spear-phishing, identitetskompromittering og kan føre til forretningsafbrydelse med den rigtige sociale teknik anvendt på adgangen," siger han og bemærker, at angribere kan "pijle med legitim kommunikation i en organisation ved selektivt at ødelægge, eksfiltrere eller deltage i målrettede phishing-angreb."
Vectra opdagede problemet, da virksomhedens forskere undersøgte Microsoft Teams på vegne af en klient og ledte efter måder at slette brugere, der er inaktive, en handling som Teams normalt ikke tillader. I stedet fandt forskerne, at en fil, der lagrede adgangstokens i klartekst, hvilket gav dem mulighed for at oprette forbindelse til Skype og Outlook gennem deres API'er. Fordi Microsoft Teams samler en række forskellige tjenester - inklusive de applikationer, SharePoint og andre - som softwaren kræver tokens for at få adgang, Vectra anført i vejledningen.
Med tokens kan en angriber ikke kun få adgang til enhver tjeneste som en aktuelt online bruger, men også omgå MFA, fordi eksistensen af et gyldigt token typisk betyder, at brugeren har leveret en anden faktor.
I sidste ende kræver angrebet ikke særlige tilladelser eller avanceret malware for at give angribere nok adgang til at forårsage interne vanskeligheder for en målrettet virksomhed, hedder det i rådgiveren.
"Med nok kompromitterede maskiner kan angribere orkestrere kommunikation i en organisation," udtalte virksomheden i meddelelsen. "Hvis man antager fuld kontrol over kritiske pladser - som en virksomheds ingeniørchef, CEO eller CFO - kan angribere overbevise brugere om at udføre opgaver, der skader organisationen. Hvordan træner du phish-testning til dette?"
Microsoft: Ingen patch nødvendig
Microsoft anerkendte problemerne, men sagde, at det faktum, at angriberen allerede skal have kompromitteret et system på målnetværket, reducerede truslen, og valgte ikke at patch.
"Den beskrevne teknik opfylder ikke vores bar for øjeblikkelig service, da den kræver, at en angriber først får adgang til et målnetværk," sagde en talsmand for Microsoft i en erklæring sendt til Dark Reading. "Vi sætter pris på Vectra Protects partnerskab med at identificere og ansvarligt afsløre dette problem og vil overveje at løse det i en fremtidig produktudgivelse."
I 2019 udkom Open Web Application Security Project (OWASP). en top 10-liste over API-sikkerhedsproblemer. Det aktuelle problem kan betragtes som enten Broken User Authentication eller en sikkerhedsfejlkonfiguration, det andet og syvende rangerede problem på listen.
"Jeg ser denne sårbarhed som et andet middel til lateral bevægelse primært - i det væsentlige en anden vej til et Mimikatz-værktøj," siger John Bambenek, hovedtrusselsjæger hos Netenrich, en udbyder af sikkerhedsoperationer og analysetjenester.
En vigtig årsag til eksistensen af sikkerhedssvagheden er, at Microsoft Teams er baseret på Electron-applikationsrammerne, som giver virksomheder mulighed for at skabe software baseret på JavaScript, HTML og CSS. Efterhånden som virksomheden bevæger sig væk fra den platform, vil den være i stand til at eliminere sårbarheden, siger Vectra's Peoples.
"Microsoft gør en stor indsats for at bevæge sig hen imod progressive webapps, hvilket ville afbøde mange af de bekymringer, som Electron i øjeblikket bringer," siger han. "I stedet for at ombygge Electron-appen, er min antagelse, at de bruger flere ressourcer til den fremtidige tilstand."
Vectra anbefaler, at virksomhederne bruger den browserbaserede version af Microsoft Teams, som har nok sikkerhedskontrol til at forhindre udnyttelse af problemerne. Kunder, der skal bruge desktop-applikationen, bør "se nøgleapplikationsfiler for at få adgang til andre processer end den officielle Teams-applikation," udtalte Vectra i meddelelsen.
