Ründajatel, kes saavad esmase juurdepääsu ohvri võrgule, on nüüd veel üks meetod oma ulatuse laiendamiseks: teiste Microsoft Teamsi kasutajate juurdepääsulubade kasutamine nende töötajate kehastamiseks ja nende usalduse ärakasutamiseks.
Nii väidab turvafirma Vectra, kes teatas 13. septembril teatises, et Microsoft Teams salvestab autentimismärgid krüptimata, võimaldades kõigil kasutajatel pääseda juurde ilma erilubadeta. Ettevõtte sõnul võib kohaliku või kaugjuurdepääsuga süsteemile ründaja varastada kõigi praegu võrgus olevate kasutajate mandaadid ja esineda nendena isegi siis, kui nad on võrguühenduseta, ning esineda kasutajana mis tahes seotud funktsiooni, näiteks Skype'i kaudu, ja mööda minna mitmefaktorilisest autentimisest ( MFA).
Nõrkus annab ründajatele võimaluse ettevõtte võrgus palju lihtsamini liikuda, ütleb Californias San Joses asuva küberturvafirma Vectra turvaarhitekt Connor Peoples.
"See võimaldab mitut tüüpi rünnakuid, sealhulgas andmete rikkumist, andmepüüki, identiteedi kahjustamist ja võib viia äritegevuse katkemiseni, kasutades juurdepääsule rakendatud õiget sotsiaalset manipuleerimist," ütleb ta ja märgib, et ründajad võivad "rikkuda organisatsioonisiseseid legitiimseid suhtlusi. valikuliselt hävitades, eksfiltreerides või sihitud andmepüügirünnakutes osaledes.
Vectra avastas probleemi, kui ettevõtte teadlased uurisid Microsoft Teamsi kliendi nimel, otsides võimalusi passiivsete kasutajate kustutamiseks, mida Teams tavaliselt ei luba. Selle asemel leidsid teadlased, et fail, mis salvestas juurdepääsumärgid selgetekstis, mis andis neile võimaluse Skype'i ja Outlookiga oma API-de kaudu ühenduse luua. Kuna Microsoft Teams koondab erinevaid teenuseid – sealhulgas need rakendused, SharePointi ja muud –, millele tarkvara vajab juurdepääsuks žetoone, Vectra nõuandes märgitud.
Tokenite abil ei saa ründaja mitte ainult juurdepääsu mis tahes teenusele praegu võrgus oleva kasutajana, vaid ka MFA-st mööda minna, kuna kehtiva märgi olemasolu tähendab tavaliselt, et kasutaja on esitanud teise teguri.
Lõppkokkuvõttes ei vaja rünnak erilubasid ega täiustatud pahavara, et anda ründajatele piisavalt juurdepääsu, et tekitada sihtettevõttele sisemisi raskusi, seisab nõuandes.
"Piisavalt ohustatud masinate korral saavad ründajad organisatsioonisiseselt suhtlust korraldada," teatas ettevõte nõuandes. „Eeldades täielikku kontrolli kriitiliste kohtade üle – nagu ettevõtte insenerijuht, tegevjuht või finantsjuht – võivad ründajad veenda kasutajaid täitma organisatsiooni kahjustavaid ülesandeid. Kuidas te selle jaoks andmepüügi testimist harjutate?
Microsoft: plaastrit pole vaja
Microsoft tunnistas probleeme, kuid teatas, et tõsiasi, et ründaja peab olema sihtvõrgu süsteemi juba ohustanud, vähendas kujutatud ohtu ja otsustas mitte parandada.
"Kirjeldatud tehnika ei vasta kohese teenindamise nõuetele, kuna see nõuab ründajalt esmalt juurdepääsu sihtvõrgule," ütles Microsofti pressiesindaja Dark Readingile saadetud avalduses. "Hindame Vectra Protecti partnerlust selle probleemi tuvastamisel ja vastutustundlikul avalikustamisel ning kaalume selle lahendamist tulevases tooteväljaandes."
2019. aastal avaldati Open Web Application Security Project (OWASP). API turbeprobleemide top 10. Praegust probleemi võib pidada kas katkiseks kasutaja autentimiseks või turvaveaks, mis on loendis teine ja seitsmes probleem.
"Ma näen seda haavatavust peamiselt teise vahendina külgsuunas liikumiseks – sisuliselt veel üheks võimaluseks Mimikatzi tüüpi tööriistade jaoks," ütleb turvaoperatsioonide ja analüüsiteenuste pakkuja Netenrichi peamine ohtude otsija John Bambenek.
Turvanõrkuse peamine põhjus on see, et Microsoft Teams põhineb Electroni rakendusraamistikul, mis võimaldab ettevõtetel luua JavaScriptil, HTML-il ja CSS-il põhinevat tarkvara. Kui ettevõte sellelt platvormilt eemaldub, suudab see haavatavuse kõrvaldada, ütleb Vectra's Peoples.
"Microsoft teeb suuri jõupingutusi, et liikuda progressiivsete veebirakenduste poole, mis leevendaks paljusid Electroni praegusi probleeme, " ütleb ta. "Selle asemel, et Electroni rakendust ümber kujundada, eeldan, et nad pühendavad tulevasele olekule rohkem ressursse."
Vectra soovitab ettevõtetel kasutada Microsoft Teamsi brauseripõhist versiooni, millel on piisavalt turvakontrolle, et vältida probleemide ärakasutamist. Kliendid, kes peavad kasutama töölauarakendust, peaksid "vaatama võtmerakenduste faile, et pääseda juurde mis tahes muule protsessile peale ametliku Teamsi rakenduse," märkis Vectra nõuandes.
