Ένα νέο εργαλείο είναι διαθέσιμο στο GitHub που δίνει στους εισβολείς έναν τρόπο να αξιοποιήσουν μια ευπάθεια που αποκαλύφθηκε πρόσφατα στο Microsoft Teams και να παραδώσουν αυτόματα κακόβουλα αρχεία σε στοχευμένους χρήστες του Teams σε έναν οργανισμό.
Το εργαλείο, που ονομάζεται "TeamsPhisher", λειτουργεί σε περιβάλλοντα όπου ένας οργανισμός επιτρέπει την επικοινωνία μεταξύ των εσωτερικών χρηστών του Teams και των εξωτερικών χρηστών του Teams — ή των μισθωτών. Επιτρέπει στους εισβολείς να παραδίδουν ωφέλιμα φορτία απευθείας στα εισερχόμενα ενός θύματος χωρίς να βασίζονται σε ένα παραδοσιακό phishing ή κοινωνική μηχανική απάτες για να το φτάσει εκεί.
«Δώστε στο TeamsPhisher ένα συνημμένο, ένα μήνυμα και μια λίστα με τους χρήστες στοχευόμενων ομάδων», είπε ο προγραμματιστής του εργαλείου Alex Reid, μέλος της Red Team του Πολεμικού Ναυτικού των ΗΠΑ, σε μια περιγραφή του εργαλείου στο GitHub. "Θα ανεβάσει το συνημμένο στο Sharepoint του αποστολέα και στη συνέχεια θα επαναλάβει τη λίστα των στόχων."
Πλήρως αυτοματοποιημένες ροές κυβερνοεπιθέσεων
TeamsPhisher ενσωματώνει μια τεχνική που πρόσφατα αποκάλυψαν δύο ερευνητές στα εργαστήρια JUMPSEC για την παραβίαση μιας δυνατότητας ασφαλείας στο Microsoft Teams. Ενώ η εφαρμογή συνεργασίας επιτρέπει την επικοινωνία μεταξύ χρηστών του Teams από διαφορετικούς οργανισμούς, αποκλείει την κοινή χρήση αρχείων μεταξύ τους.
Οι ερευνητές της JUMPSEC Max Corbridge και Tom Ellson βρήκε έναν σχετικά εύκολο τρόπο για να παρακάμψετε αυτόν τον περιορισμό, χρησιμοποιώντας αυτό που είναι γνωστό ως τεχνική Insecure Direct Object Reference (IDOR). Ως προμηθευτής ασφάλειας Σημείωσε ο Βαρώνης σε πρόσφατη ανάρτησή του στο blog, "Τα σφάλματα IDOR επιτρέπουν σε έναν εισβολέα να αλληλεπιδρά κακόβουλα με μια εφαρμογή Ιστού χειραγωγώντας μια "άμεση αναφορά αντικειμένου", όπως ένα κλειδί βάσης δεδομένων, μια παράμετρος ερωτήματος ή ένα όνομα αρχείου."
Οι Corbridge και Ellson διαπίστωσαν ότι θα μπορούσαν να εκμεταλλευτούν ένα πρόβλημα IDOR στο Teams απλώς αλλάζοντας το αναγνωριστικό του εσωτερικού και του εξωτερικού παραλήπτη κατά την υποβολή ενός αιτήματος POST. Οι δύο ερευνητές ανακάλυψαν ότι όταν ένα ωφέλιμο φορτίο αποστέλλεται με αυτόν τον τρόπο, το ωφέλιμο φορτίο φιλοξενείται στον τομέα SharePoint του αποστολέα και φτάνει στα εισερχόμενα της ομάδας του θύματος. Οι Corbridge και Ellson αναγνώρισαν ότι η ευπάθεια επηρεάζει κάθε οργανισμό που εκτελεί το Teams σε προεπιλεγμένη διαμόρφωση και το περιέγραψαν ως κάτι που ένας εισβολέας θα μπορούσε να χρησιμοποιήσει για να παρακάμψει μηχανισμούς anti-phishing και άλλους ελέγχους ασφαλείας. Η Microsoft αναγνώρισε το πρόβλημα αλλά το αξιολόγησε ως κάτι που δεν αξίζει άμεσης επιδιόρθωσης.
Το TeamsPhisher ενσωματώνει τεχνικές πολλαπλών επιθέσεων
Ο Reid περιέγραψε το εργαλείο του TeamsPhisher ότι ενσωματώνει τις τεχνικές της JUMPSEC καθώς και κάποια προηγούμενη έρευνα σχετικά με τον τρόπο αξιοποίησης των ομάδων της Microsoft για αρχική πρόσβαση από ανεξάρτητο ερευνητή Αντρέα Σαντέζε. Ενσωματώνει επίσης τεχνικές του TeamsEnum, ένα εργαλείο για την απαρίθμηση των χρηστών του Teams, που είχε κυκλοφορήσει προηγουμένως στο GitHub ένας ερευνητής από την Secure Systems Engineering GmbH.
Σύμφωνα με τον Reid, ο τρόπος με τον οποίο λειτουργεί το TeamsPhisher είναι να απαριθμήσει πρώτα έναν χρήστη του Teams-στόχο και να επαληθεύσει ότι ο χρήστης μπορεί να λάβει εξωτερικά μηνύματα. Στη συνέχεια, το TeamsPhisher δημιουργεί ένα νέο νήμα με τον χρήστη-στόχο. Χρησιμοποιεί μια τεχνική που επιτρέπει στο μήνυμα να φτάσει στα εισερχόμενα του στόχου χωρίς τη συνηθισμένη οθόνη εκκίνησης "Κάποιος εκτός του οργανισμού σας, σας έστειλε μήνυμα, είστε βέβαιοι ότι θέλετε να το δείτε", είπε ο Reid.
«Με το νέο νήμα που δημιουργείται μεταξύ του αποστολέα μας και του στόχου, το καθορισμένο μήνυμα θα σταλεί στον χρήστη μαζί με έναν σύνδεσμο προς το συνημμένο στο Sharepoint», σημείωσε. "Μόλις σταλεί αυτό το αρχικό μήνυμα, το νήμα που δημιουργήθηκε θα είναι ορατό στο Teams GUI του αποστολέα και μπορεί να αλληλεπιδράσει με μη αυτόματο τρόπο, εάν χρειάζεται, κατά περίπτωση."
Η Microsoft δεν απάντησε αμέσως σε ένα αίτημα Dark Reading που ζητούσε σχολιασμό σχετικά με το εάν η κυκλοφορία του TeamsPhisher θα μπορούσε να είχε αλλάξει τη στάση της για την αποκατάσταση του σφάλματος που βρήκε η JUMPSEC. Η ίδια η JUMPSEC προέτρεψε τους οργανισμούς που χρησιμοποιούν το Microsoft Teams να ελέγξουν εάν υπάρχει κάποια επιχειρηματική ανάγκη για ενεργοποίηση της επικοινωνίας μεταξύ εσωτερικών χρηστών του Teams και εξωτερικών ενοικιαστών.
"Εάν δεν χρησιμοποιείτε αυτήν τη στιγμή το Teams για τακτική επικοινωνία με εξωτερικούς ενοικιαστές, ενισχύστε τους ελέγχους ασφαλείας και αφαιρέστε εντελώς την επιλογή", συμβουλεύει η εταιρεία.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 7
- a
- πρόσβαση
- αναγνώρισε
- συγκινητικός
- alex
- επιτρέπουν
- επιτρέπει
- κατά μήκος
- Επίσης
- εντελώς
- an
- και
- κάθε
- Εφαρμογή
- ΕΙΝΑΙ
- γύρω
- Φτάνει
- AS
- αξιολόγηση
- At
- επίθεση
- Αυτοματοποιημένη
- αυτομάτως
- διαθέσιμος
- βάση
- BE
- ήταν
- μεταξύ
- Μπλοκ
- Μπλοκ
- Έντομο
- σφάλματα
- επιχείρηση
- αλλά
- by
- CAN
- άλλαξε
- συνεργασία
- σχόλιο
- Επικοινωνία
- Διαβιβάσεις
- εταίρα
- διαμόρφωση
- ελέγχους
- θα μπορούσε να
- δημιουργήθηκε
- δημιουργεί
- Τη στιγμή
- Ηλεκτρονική επίθεση
- σκοτάδι
- Σκοτεινή ανάγνωση
- βάση δεδομένων
- Προεπιλογή
- παραδώσει
- περιγράφεται
- περιγραφή
- Εργολάβος
- DID
- διαφορετικές
- κατευθύνει
- κατευθείαν
- ανακάλυψαν
- τομέα
- μεταγλωττισμένο
- Νωρίτερα
- εύκολος
- ενεργοποίηση
- Μηχανική
- περιβάλλοντα
- Κάθε
- Εκμεταλλεύομαι
- εξωτερικός
- Χαρακτηριστικό
- Αρχεία
- Όνομα
- σταθερός
- Για
- Βρέθηκαν
- από
- παίρνω
- να πάρει
- GitHub
- Δώστε
- δίνει
- GmBH
- είχε
- Έχω
- he
- του
- φιλοξενείται
- Πως
- Πώς να
- HTTPS
- ID
- προσδιορίζονται
- if
- άμεσος
- αμέσως
- in
- ενσωματώνοντας
- ανεξάρτητος
- αρχικός
- ανασφαλής
- αλληλεπιδρούν
- εσωτερικός
- σε
- ζήτημα
- IT
- ΤΟΥ
- εαυτό
- jpg
- Κλειδί
- γνωστός
- Labs
- Μόχλευση
- LINK
- Λιστα
- malware
- χειραγώγηση
- τρόπος
- χειροκίνητα
- max
- μηχανισμούς
- μέλος
- μήνυμα
- μηνύματα
- Microsoft
- μικροσκοπικές ομάδες
- ενδέχεται να
- πολλαπλούς
- Ανάγκη
- Νέα
- Σημειώνεται
- αντικείμενο
- of
- on
- μια φορά
- Επιλογή
- or
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- δικός μας
- εκτός
- παράμετρος
- Phishing
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Θέση
- προηγουμένως
- Ανάγνωση
- λαμβάνω
- πρόσφατος
- πρόσφατα
- Red
- τακτικός
- σχετικά
- απελευθερώνουν
- κυκλοφόρησε
- βασιζόμενοι
- αφαιρέστε
- ζητήσει
- έρευνα
- ερευνητής
- ερευνητές
- Απάντηση
- περιορισμός
- ανασκόπηση
- τρέξιμο
- s
- Είπε
- απάτες
- Οθόνη
- προστατευμένο περιβάλλον
- ασφάλεια
- αναζήτηση
- αποστέλλει
- αποστέλλονται
- μοιράζονται
- απλά
- Μ.Κ.Δ
- μερικοί
- Κάποιος
- κάτι
- καθορίζεται
- τέτοιος
- βέβαιος
- συστήματα
- στόχος
- στοχευμένες
- στόχους
- ομάδες
- τεχνικές
- ότι
- Η
- Τους
- τότε
- Εκεί.
- αυτοί
- αυτό
- Μέσω
- σφίγγω
- προς την
- κάποιος
- εργαλείο
- παραδοσιακός
- δύο
- us
- χρήση
- Χρήστες
- Χρήστες
- χρησιμοποιεί
- χρησιμοποιώντας
- πάροχος υπηρεσιών
- επαληθεύει
- Θύμα
- Δες
- ορατός
- ευπάθεια
- θέλω
- Τρόπος..
- ιστός
- Εφαρμογή Web
- ΛΟΙΠΌΝ
- Τι
- Τι είναι
- πότε
- αν
- ενώ
- θα
- με
- χωρίς
- λειτουργεί
- Εσείς
- Σας
- zephyrnet
