Η αδυναμία εξόρυξης διακριτικών στο Microsoft Teams δημιουργεί τέλειο Phish

Οι εισβολείς που αποκτούν αρχική πρόσβαση στο δίκτυο ενός θύματος έχουν τώρα μια άλλη μέθοδο επέκτασης της εμβέλειάς τους: χρησιμοποιώντας διακριτικά πρόσβασης από άλλους χρήστες του Microsoft Teams για να μιμηθούν αυτούς τους υπαλλήλους και να εκμεταλλευτούν την εμπιστοσύνη τους.

Αυτό σύμφωνα με την εταιρεία ασφαλείας Vectra, η οποία δήλωσε σε μια συμβουλή στις 13 Σεπτεμβρίου ότι το Microsoft Teams αποθηκεύει τα διακριτικά ελέγχου ταυτότητας χωρίς κρυπτογράφηση, επιτρέποντας σε κάθε χρήστη να έχει πρόσβαση στο μυστικό αρχείο χωρίς την ανάγκη ειδικών αδειών. Σύμφωνα με την εταιρεία, ένας εισβολέας με τοπική ή απομακρυσμένη πρόσβαση στο σύστημα μπορεί να κλέψει τα διαπιστευτήρια για οποιονδήποτε επί του παρόντος συνδεδεμένο χρήστη και να τους μιμηθεί, ακόμη και όταν είναι εκτός σύνδεσης, και να μιμηθεί τον χρήστη μέσω οποιασδήποτε σχετικής λειτουργίας, όπως το Skype, και να παρακάμψει τον έλεγχο ταυτότητας πολλαπλών παραγόντων. ΥΠΠ).

Η αδυναμία δίνει στους επιτιθέμενους τη δυνατότητα να μετακινούνται μέσω του δικτύου μιας εταιρείας πολύ πιο εύκολα, λέει ο Connor Peoples, αρχιτέκτονας ασφαλείας στη Vectra, μια εταιρεία κυβερνοασφάλειας με έδρα το Σαν Χοσέ της Καλιφόρνια.

"Αυτό επιτρέπει πολλαπλές μορφές επιθέσεων, όπως παραποίηση δεδομένων, ψάρεμα με δόρυ, παραβίαση ταυτότητας και θα μπορούσε να οδηγήσει σε διακοπή της επιχείρησης με τη σωστή κοινωνική μηχανική που εφαρμόζεται στην πρόσβαση", λέει, σημειώνοντας ότι οι εισβολείς μπορούν να "παραβιάσουν τις νόμιμες επικοινωνίες εντός ενός οργανισμού. με επιλεκτική καταστροφή, διείσδυση ή εμπλοκή σε στοχευμένες επιθέσεις phishing».

Η Vectra ανακάλυψε το πρόβλημα όταν οι ερευνητές της εταιρείας εξέτασαν το Microsoft Teams για λογαριασμό ενός πελάτη, αναζητώντας τρόπους διαγραφής χρηστών που είναι ανενεργοί, μια ενέργεια που συνήθως δεν επιτρέπει η ομάδα. Αντίθετα, οι ερευνητές ανακάλυψαν ότι ένα αρχείο που αποθήκευε διακριτικά πρόσβασης σε καθαρό κείμενο, το οποίο τους έδινε τη δυνατότητα να συνδέονται με το Skype και το Outlook μέσω των API τους. Επειδή το Microsoft Teams συγκεντρώνει μια ποικιλία υπηρεσιών — συμπεριλαμβανομένων αυτών των εφαρμογών, του SharePoint και άλλων — στις οποίες το λογισμικό απαιτεί διακριτικά για να αποκτήσει πρόσβαση, το Vectra αναφέρεται στη συμβουλευτική.

Με τα διακριτικά, ένας εισβολέας όχι μόνο μπορεί να αποκτήσει πρόσβαση σε οποιαδήποτε υπηρεσία ως επί του παρόντος συνδεδεμένος χρήστης, αλλά και να παρακάμψει το MFA επειδή η ύπαρξη ενός έγκυρου διακριτικού συνήθως σημαίνει ότι ο χρήστης έχει παράσχει έναν δεύτερο παράγοντα.

Τελικά, η επίθεση δεν απαιτεί ειδικές άδειες ή προηγμένο κακόβουλο λογισμικό για να παραχωρήσει στους εισβολείς αρκετή πρόσβαση ώστε να προκαλέσει εσωτερικές δυσκολίες σε μια στοχευμένη εταιρεία, ανέφερε η συμβουλευτική.

«Με αρκετά παραβιασμένα μηχανήματα, οι επιτιθέμενοι μπορούν να ενορχηστρώσουν τις επικοινωνίες μέσα σε έναν οργανισμό», ανέφερε η εταιρεία στη συμβουλή. «Υποθέτοντας τον πλήρη έλεγχο των κρίσιμων θέσεων – όπως ο επικεφαλής μηχανολογίας, ο CEO ή ο CFO μιας εταιρείας – οι εισβολείς μπορούν να πείσουν τους χρήστες να εκτελέσουν εργασίες που βλάπτουν τον οργανισμό. Πώς εξασκείτε τη δοκιμή phish για αυτό;»

Microsoft: Δεν απαιτείται ενημέρωση κώδικα

Η Microsoft αναγνώρισε τα ζητήματα, αλλά είπε ότι το γεγονός ότι ο εισβολέας πρέπει να έχει ήδη υπονομεύσει ένα σύστημα στο δίκτυο-στόχο μείωσε την απειλή που προέκυψε και επέλεξε να μην επιδιορθώσει.

«Η τεχνική που περιγράφεται δεν ανταποκρίνεται στη γραμμή μας για άμεση εξυπηρέτηση, καθώς απαιτεί από έναν εισβολέα να αποκτήσει πρώτα πρόσβαση σε ένα δίκτυο-στόχο», δήλωσε εκπρόσωπος της Microsoft σε δήλωση που εστάλη στο Dark Reading. "Εκτιμούμε τη συνεργασία της Vectra Protect στον εντοπισμό και την υπεύθυνη αποκάλυψη αυτού του ζητήματος και θα εξετάσουμε το ενδεχόμενο αντιμετώπισης σε μελλοντική κυκλοφορία προϊόντος."

Το 2019 κυκλοφόρησε το Open Web Application Security Project (OWASP). μια λίστα κορυφαίων 10 ζητημάτων ασφάλειας API. Το τρέχον ζήτημα θα μπορούσε να θεωρηθεί είτε Κατεστραμμένος έλεγχος ταυτότητας χρήστη είτε εσφαλμένη ρύθμιση παραμέτρων ασφαλείας, το δεύτερο και το έβδομο ζήτημα που κατατάσσεται στη λίστα.

«Βλέπω αυτή την ευπάθεια ως ένα άλλο μέσο για πλευρική κίνηση κυρίως - ουσιαστικά μια άλλη λεωφόρο για ένα εργαλείο τύπου Mimikatz», λέει ο John Bambenek, κύριος κυνηγός απειλών στη Netenrich, έναν πάροχο υπηρεσιών ασφαλείας και ανάλυσης.

Ένας βασικός λόγος για την ύπαρξη της αδυναμίας ασφάλειας είναι ότι το Microsoft Teams βασίζεται στο πλαίσιο εφαρμογής Electron, το οποίο επιτρέπει στις εταιρείες να δημιουργούν λογισμικό βασισμένο σε JavaScript, HTML και CSS. Καθώς η εταιρεία απομακρύνεται από αυτήν την πλατφόρμα, θα είναι σε θέση να εξαλείψει την ευπάθεια, λέει η Vectra's Peoples.

«Η Microsoft καταβάλλει ισχυρές προσπάθειες για να προχωρήσει προς τις Προοδευτικές Εφαρμογές Ιστού, οι οποίες θα μετριάσουν πολλές από τις ανησυχίες που προκαλεί αυτή τη στιγμή η Electron», λέει. «Αντί να ξαναχτίσουν την εφαρμογή Electron, υποθέτω ότι αφιερώνουν περισσότερους πόρους στη μελλοντική κατάσταση».

Η Vectra συνιστά στις εταιρείες να χρησιμοποιούν την έκδοση του Microsoft Teams που βασίζεται σε πρόγραμμα περιήγησης, η οποία διαθέτει αρκετά στοιχεία ελέγχου ασφαλείας για να αποτρέψει την εκμετάλλευση των προβλημάτων. Οι πελάτες που πρέπει να χρησιμοποιήσουν την εφαρμογή επιτραπέζιου υπολογιστή θα πρέπει να "παρακολουθούν τα βασικά αρχεία εφαρμογών για πρόσβαση από οποιαδήποτε άλλη διαδικασία εκτός από την επίσημη εφαρμογή του Teams", δήλωσε η Vectra στη συμβουλευτική.