La herramienta de explotación de Microsoft Teams entrega automáticamente malware

Hay una nueva herramienta disponible en GitHub que brinda a los atacantes una forma de aprovechar una vulnerabilidad recientemente revelada en Microsoft Teams y entregar automáticamente archivos maliciosos a los usuarios de Teams específicos en una organización.

La herramienta, denominada "TeamsPhisher", funciona en entornos donde una organización permite las comunicaciones entre sus usuarios internos de Teams y los usuarios externos de Teams (o inquilinos). Permite a los atacantes enviar cargas útiles directamente a la bandeja de entrada de la víctima. sin depender de un phishing tradicional o ingeniería social estafas para llegar allí.

"Proporcione a TeamsPhisher un archivo adjunto, un mensaje y una lista de usuarios de Teams objetivo", dijo el desarrollador de la herramienta Alex Reid, miembro del Equipo Rojo de la Marina de los EE. UU., en una descripción de la herramienta en GitHub. "Cargará el archivo adjunto en el Sharepoint del remitente y luego recorrerá la lista de objetivos".

Flujos de ciberataques totalmente automatizados

EquiposPhisher incorpora una técnica que dos investigadores de JUMPSEC Labs revelaron recientemente para sortear una característica de seguridad en Microsoft Teams. Si bien la aplicación de colaboración permite las comunicaciones entre usuarios de Teams de diferentes organizaciones, bloquea el intercambio de archivos entre ellos.

Los investigadores de JUMPSEC Max Corbridge y Tom Ellson encontré una manera relativamente fácil para evitar esta restricción, utilizando lo que se conoce como técnica de referencia directa a objetos inseguros (IDOR). Como proveedor de seguridad Varonis señaló en una publicación de blog reciente, "Los errores de IDOR permiten a un atacante interactuar maliciosamente con una aplicación web manipulando una 'referencia directa a un objeto', como una clave de base de datos, un parámetro de consulta o un nombre de archivo".

Corbridge y Ellson descubrieron que podían explotar un problema de IDOR en Teams simplemente cambiando el ID del destinatario interno y externo al enviar una solicitud POST. Los dos investigadores descubrieron que cuando una carga útil se envía de esta manera, la carga útil se aloja en el dominio de SharePoint del remitente y llega a la bandeja de entrada del equipo de la víctima. Corbridge y Ellson identificaron que la vulnerabilidad afecta a todas las organizaciones que ejecutan Teams en una configuración predeterminada y la describieron como algo que un atacante podría usar para eludir los mecanismos anti-phishing y otros controles de seguridad. Microsoft reconoció el problema, pero lo evaluó como algo que no merecía una solución inmediata.

TeamsPhisher incorpora múltiples técnicas de ataque

Reid describió su herramienta TeamsPhisher como que incorpora las técnicas de JUMPSEC, así como algunas investigaciones anteriores sobre cómo aprovechar Microsoft Teams para el acceso inicial por parte de un investigador independiente. Andrea Santese. También incorpora técnicas de EquiposEnum, una herramienta para enumerar usuarios de Teams, que un investigador de Secure Systems Engineering GmbH había lanzado previamente en GitHub.

Según Reid, la forma en que funciona TeamsPhisher es enumerar primero un usuario de Teams objetivo y verificar que el usuario pueda recibir mensajes externos. TeamsPhisher luego crea un nuevo hilo con el usuario objetivo. Utiliza una técnica que permite que el mensaje llegue a la bandeja de entrada del destinatario sin la habitual pantalla de presentación "Alguien fuera de su organización le envió un mensaje, ¿está seguro de que desea verlo?", dijo Reid. 

"Con el nuevo hilo creado entre nuestro remitente y el objetivo, el mensaje especificado se enviará al usuario junto con un enlace al archivo adjunto en Sharepoint", señaló. "Una vez que se haya enviado este mensaje inicial, el hilo creado será visible en la GUI de Teams del remitente y se podrá interactuar con él manualmente, si es necesario, caso por caso".

Microsoft no respondió de inmediato a una solicitud de Dark Reading en busca de comentarios sobre si el lanzamiento de TeamsPhisher podría haber cambiado su postura sobre la corrección del error que encontró JUMPSEC. La propia JUMPSEC ha instado a las organizaciones que utilizan Microsoft Teams a revisar si existe alguna necesidad comercial para permitir las comunicaciones entre los usuarios internos de Teams y los inquilinos externos. 

"Si actualmente no utiliza Teams para la comunicación regular con inquilinos externos, refuerce sus controles de seguridad y elimine la opción por completo", recomendó la compañía.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware