Microsoft Teamsi ärakasutamistööriist edastab pahavara automaatselt

GitHubis on saadaval uus tööriist, mis annab ründajatele võimaluse kasutada Microsoft Teamsi hiljuti avalikustatud haavatavust ja saata pahatahtlikud failid automaatselt organisatsiooni sihtrühma kuuluvatele Teamsi kasutajatele.

Tööriist, mille nimeks on "TeamsPhisher", töötab keskkondades, kus organisatsioon võimaldab suhtlust oma Teamsi sisekasutajate ja väliste Teamsi kasutajate ehk rentnike vahel. See võimaldab ründajatel toimetada kasulikud koormad otse ohvri postkasti ilma traditsioonilisele andmepüügile või sotsiaalsele manipuleerimisele tuginemata petuskeemid, et see sinna saada.

"Andke TeamsPhisherile manus, sõnum ja sihtrühma Teamsi kasutajate loend," ütles tööriista arendaja Alex Reid, USA mereväe punase meeskonna liige, GitHubi tööriista kirjelduses. "See laadib manuse üles saatja Sharepointi ja seejärel kordab sihtmärkide loendit."

Täielikult automatiseeritud küberrünnakute vood

TeamsPhisher sisaldab tehnikat, mille kaks JUMPSEC Labsi teadlast hiljuti avalikustasid Microsoft Teamsi turbefunktsioonist mööda hiilimiseks. Kuigi koostöörakendus võimaldab suhelda erinevatest organisatsioonidest pärit Teamsi kasutajate vahel, blokeerib see failide jagamise nende vahel.

JUMPSECi teadlased Max Corbridge ja Tom Ellson leidnud suhteliselt lihtsa tee sellest piirangust mööda hiilimiseks, kasutades nn ebaturvalise otseobjekti viite (IDOR) tehnikat. Turvamüüjana Varonis märkis hiljutises ajaveebi postituses, "IDOR-i vead võimaldavad ründajal veebirakendusega pahatahtlikult suhelda, manipuleerides "otse objekti viitega", nagu andmebaasi võti, päringu parameeter või failinimi."

Corbridge ja Ellson leidsid, et nad saavad Teamsis IDOR-i probleemi ära kasutada, lihtsalt vahetades POST-i päringu esitamisel sisemise ja välise adressaadi ID. Kaks teadlast avastasid, et kui kasulik koormus sel viisil saadetakse, hostitakse seda saatja SharePointi domeenis ja see jõuab ohvri meeskonna postkasti. Corbridge ja Ellson tuvastasid, et haavatavus mõjutab kõiki organisatsioone, mis kasutavad Teamsi vaikekonfiguratsioonis, ja kirjeldasid seda kui midagi, mida ründaja saab kasutada andmepüügivastastest mehhanismidest ja muudest turvakontrollidest mööda hiilimiseks. Microsoft tunnistas probleemi, kuid hindas seda kui midagi, mis ei vääri kohest parandamist.

TeamsPhisher sisaldab mitut rünnakutehnikat

Reid kirjeldas oma TeamsPhisheri tööriista nii, et see sisaldab JUMPSECi tehnikaid ja mõningaid varasemaid uuringuid selle kohta, kuidas kasutada Microsoft Teamsi sõltumatute teadlaste esmaseks juurdepääsuks. Andrea Santese. See hõlmab ka tehnikaid TeamsEnum, tööriist Teamsi kasutajate loendamiseks, mille Secure Systems Engineering GmbH teadur oli varem GitHubile välja andnud.

Reidi sõnul seisneb TeamsPhisheri tööviis esmalt Teamsi sihtkasutaja loetlemine ja selle kontrollimine, kas kasutaja saab välisteateid vastu võtta. TeamsPhisher loob seejärel sihtkasutajaga uue lõime. See kasutab tehnikat, mis võimaldab sõnumil jõuda sihtmärgi postkasti ilma tavapärase "Keegi väljaspool teie organisatsiooni saatis teile sõnumi, kas olete kindel, et soovite seda vaadata" pritsimiskuva, ütles Reid. 

"Meie saatja ja sihtmärgi vahel loodud uue lõimega saadetakse kasutajale määratud sõnum koos Sharepointi manuse lingiga," märkis ta. "Kui see esialgne sõnum on saadetud, on loodud lõim nähtav saatja Teamsi GUI-s ja seda saab vajaduse korral käsitsi kasutada ja igal üksikjuhul eraldi."

Microsoft ei vastanud kohe pimeda lugemise päringule, milles sooviti kommenteerida, kas TeamsPhisheri väljalaskmine võis muuta oma seisukohta JUMPSECi leitud vea parandamisel. JUMPSEC ise on kutsunud Microsoft Teamsi kasutavaid organisatsioone üles vaatama, kas Teamsi sisekasutajate ja välisrentnike vahelise suhtluse võimaldamiseks on äriline vajadus. 

"Kui te ei kasuta Teamsi praegu regulaarseks suhtlemiseks väliste üürnikega, tugevdage oma turvakontrolli ja eemaldage see võimalus üldse," on ettevõte soovitanud.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware