Angreifer, die anfänglichen Zugriff auf das Netzwerk eines Opfers erhalten, haben jetzt eine andere Methode, um ihre Reichweite zu erweitern: die Verwendung von Zugriffstoken von anderen Microsoft Teams-Benutzern, um sich als diese Mitarbeiter auszugeben und ihr Vertrauen auszunutzen.
Das sagt die Sicherheitsfirma Vectra, die in einer Empfehlung vom 13. September erklärte, dass Microsoft Teams Authentifizierungstoken unverschlüsselt speichert, sodass jeder Benutzer ohne besondere Berechtigungen auf die Secrets-Datei zugreifen kann. Nach Angaben des Unternehmens kann ein Angreifer mit lokalem oder Remote-Systemzugriff die Anmeldeinformationen für alle derzeit online Benutzer stehlen und sich für sie ausgeben, selbst wenn sie offline sind, und sich über alle zugehörigen Funktionen wie Skype als Benutzer ausgeben und die Multifaktor-Authentifizierung umgehen ( MFA).
Die Schwachstelle gibt Angreifern die Möglichkeit, sich viel einfacher durch das Netzwerk eines Unternehmens zu bewegen, sagt Connor Peoples, Sicherheitsarchitekt bei Vectra, einem in San Jose, Kalifornien, ansässigen Cybersicherheitsunternehmen.
„Dies ermöglicht mehrere Formen von Angriffen, einschließlich Datenmanipulation, Spear-Phishing, Identitätskompromittierung, und könnte zu Betriebsunterbrechungen führen, wenn das richtige Social Engineering auf den Zugriff angewendet wird“, sagt er und stellt fest, dass Angreifer „legitime Kommunikation innerhalb einer Organisation manipulieren können durch selektives Zerstören, Exfiltrieren oder gezielte Phishing-Angriffe.“
Vectra entdeckte das Problem, als die Forscher des Unternehmens Microsoft Teams im Auftrag eines Kunden untersuchten und nach Möglichkeiten suchten, inaktive Benutzer zu löschen, eine Aktion, die Teams normalerweise nicht zulässt. Stattdessen fanden die Forscher eine Datei, die Zugriffstoken im Klartext speicherte, was ihnen die Möglichkeit gab, sich über ihre APIs mit Skype und Outlook zu verbinden. Da Microsoft Teams eine Vielzahl von Diensten – einschließlich dieser Anwendungen, SharePoint und andere – zusammenführt, für die die Software Token benötigt, um Zugriff zu erhalten, bietet Vectra in der Beratung angegeben.
Mit den Token kann sich ein Angreifer nicht nur als aktuell online Benutzer Zugang zu jedem Dienst verschaffen, sondern auch MFA umgehen, da das Vorhandensein eines gültigen Tokens typischerweise bedeutet, dass der Benutzer einen zweiten Faktor bereitgestellt hat.
Letztendlich erfordert der Angriff keine besonderen Berechtigungen oder fortschrittliche Malware, um Angreifern genügend Zugriff zu gewähren, um einem Zielunternehmen interne Schwierigkeiten zu bereiten, heißt es in der Empfehlung.
„Mit genügend kompromittierten Maschinen können Angreifer die Kommunikation innerhalb einer Organisation orchestrieren“, erklärte das Unternehmen in der Empfehlung. „Indem Angreifer die volle Kontrolle über kritische Stellen übernehmen – wie den Leiter der Technik, den CEO oder den CFO eines Unternehmens – können Angreifer Benutzer davon überzeugen, Aufgaben auszuführen, die dem Unternehmen schaden. Wie praktizieren Sie dafür Phishing-Tests?“
Microsoft: Kein Patch erforderlich
Microsoft räumte die Probleme ein, sagte jedoch, dass die Tatsache, dass der Angreifer bereits ein System im Zielnetzwerk kompromittiert haben muss, die Bedrohung verringert habe, und entschied sich dafür, nicht zu patchen.
„Die beschriebene Technik erfüllt nicht unsere Anforderungen an eine sofortige Wartung, da ein Angreifer zunächst Zugriff auf ein Zielnetzwerk erhalten muss“, sagte ein Microsoft-Sprecher in einer Erklärung, die an Dark Reading gesendet wurde. „Wir schätzen die Partnerschaft von Vectra Protect bei der Identifizierung und verantwortungsvollen Offenlegung dieses Problems und werden erwägen, es in einer zukünftigen Produktversion anzugehen.“
2019 wurde das Open Web Application Security Project (OWASP) veröffentlicht eine Top-10-Liste der API-Sicherheitsprobleme. Das aktuelle Problem könnte entweder als defekte Benutzerauthentifizierung oder als Sicherheitsfehlkonfiguration angesehen werden, die zweit- und siebtrangigen Probleme auf der Liste.
„Ich betrachte diese Schwachstelle in erster Linie als ein weiteres Mittel zur lateralen Bewegung – im Wesentlichen eine weitere Möglichkeit für ein Tool vom Typ Mimikatz“, sagt John Bambenek, Principal Threat Hunter bei Netenrich, einem Anbieter von Sicherheitsoperationen und Analysediensten.
Ein wesentlicher Grund für das Vorhandensein der Sicherheitslücke ist, dass Microsoft Teams auf dem Electron-Anwendungsframework basiert, das es Unternehmen ermöglicht, Software auf Basis von JavaScript, HTML und CSS zu erstellen. Wenn sich das Unternehmen von dieser Plattform entfernt, wird es in der Lage sein, die Schwachstelle zu beseitigen, sagt Vectra's Peoples.
„Microsoft unternimmt große Anstrengungen, sich in Richtung Progressive Web Apps zu bewegen, was viele der derzeit von Electron geäußerten Bedenken entkräften würde“, sagt er. „Anstatt die Electron-App neu zu gestalten, gehe ich davon aus, dass sie mehr Ressourcen für den zukünftigen Zustand aufwenden.“
Vectra empfiehlt den Unternehmen, die browserbasierte Version von Microsoft Teams zu verwenden, die über ausreichende Sicherheitskontrollen verfügt, um die Ausnutzung der Probleme zu verhindern. Kunden, die die Desktop-Anwendung verwenden müssen, sollten „wichtige Anwendungsdateien auf den Zugriff durch andere Prozesse als die offizielle Teams-Anwendung überwachen“, erklärte Vectra in der Empfehlung.
