ضعف استخراج توکن در تیم‌های مایکروسافت باعث ایجاد هوش کامل داده‌های PlatoBlockchain Phish می‌شود. جستجوی عمودی Ai.

ضعف توکن ماینینگ در تیم های مایکروسافت باعث ایجاد فیش عالی می شود

تمبر زمانی: 15 سپتامبر 2022، 9:00 صبح

مهاجمانی که به شبکه قربانی دسترسی اولیه پیدا می‌کنند، اکنون روش دیگری برای گسترش دسترسی خود دارند: استفاده از نشانه‌های دسترسی سایر کاربران تیم مایکروسافت برای جعل هویت آن کارمندان و سوء استفاده از اعتماد آنها.

طبق گفته شرکت امنیتی Vectra، که در توصیه‌ای در 13 سپتامبر اعلام کرد که تیم‌های مایکروسافت توکن‌های احراز هویت را بدون رمز ذخیره می‌کند و به هر کاربری اجازه می‌دهد بدون نیاز به مجوزهای خاص به فایل اسرار دسترسی داشته باشد. به گفته این شرکت، یک مهاجم با دسترسی به سیستم محلی یا از راه دور می‌تواند اعتبار هر کاربر آنلاین فعلی را بدزدد و جعل هویت آنها را حتی زمانی که آفلاین هستند جعل کند و از طریق هر ویژگی مرتبط مانند Skype جعل هویت کاربر را جعل کند و احراز هویت چند عاملی را دور بزند. وزارت امور خارجه).

کانر پیلز، معمار امنیتی در Vectra، یک شرکت امنیت سایبری مستقر در سان خوزه در کالیفرنیا، می‌گوید: این ضعف به مهاجمان این امکان را می‌دهد که به راحتی در شبکه شرکت حرکت کنند.

او می‌گوید: «این روش‌های متعددی از حملات از جمله دستکاری داده‌ها، فیشینگ نیزه‌ای، به خطر انداختن هویت را ممکن می‌سازد، و می‌تواند منجر به وقفه در کسب‌وکار با استفاده از مهندسی اجتماعی مناسب در دسترسی شود. از طریق تخریب انتخابی، نفوذ یا درگیر شدن در حملات فیشینگ هدفمند.»

Vectra این مشکل را زمانی کشف کرد که محققان شرکت تیم‌های مایکروسافت را از طرف یک مشتری بررسی کردند و به دنبال راه‌هایی برای حذف کاربران غیرفعال بودند، اقدامی که تیم معمولاً اجازه نمی‌دهد. در عوض، محققان دریافتند که فایلی است که توکن‌های دسترسی را در متن شفاف ذخیره می‌کند، که به آنها امکان اتصال به Skype و Outlook را از طریق APIهایشان می‌دهد. از آنجایی که تیم های مایکروسافت سرویس های مختلفی را گرد هم می آورد - از جمله آن برنامه ها، شیرپوینت و سایرین - که نرم افزار برای دسترسی به آنها به توکن نیاز دارد، Vectra در مشاوره بیان شده است.

با توکن ها، یک مهاجم نه تنها می تواند به عنوان یک کاربر آنلاین فعلی به هر سرویس دسترسی پیدا کند، بلکه می تواند MFA را نیز دور بزند، زیرا وجود یک توکن معتبر معمولاً به این معنی است که کاربر عامل دوم را ارائه کرده است.

در پایان، این حمله به مجوزهای ویژه یا بدافزار پیشرفته نیاز ندارد تا به مهاجمان دسترسی کافی برای ایجاد مشکلات داخلی برای یک شرکت هدف ایجاد کند.

این شرکت در مشاوره اعلام کرد: با وجود ماشین‌های در معرض خطر کافی، مهاجمان می‌توانند ارتباطات درون یک سازمان را هماهنگ کنند. «با فرض کنترل کامل صندلی‌های حیاتی - مانند رئیس مهندسی، مدیر عامل یا مدیر مالی یک شرکت - مهاجمان می‌توانند کاربران را متقاعد کنند تا وظایفی را که به سازمان آسیب می‌رساند، انجام دهند. چگونه تست فیش را برای این کار تمرین می کنید؟

مایکروسافت: بدون نیاز به وصله

مایکروسافت این مشکلات را پذیرفت، اما گفت که این واقعیت که مهاجم باید قبلاً سیستمی را در شبکه هدف به خطر انداخته باشد، تهدید ایجاد شده را کاهش داد و تصمیم گرفت وصله نکند.

یکی از سخنگویان مایکروسافت در بیانیه ای که برای Dark Reading ارسال شده است، گفت: «تکنیک شرح داده شده با نوار ما برای سرویس فوری مطابقت ندارد، زیرا مستلزم آن است که مهاجم ابتدا به یک شبکه هدف دسترسی پیدا کند. "ما از مشارکت Vectra Protect در شناسایی و افشای مسئولانه این مشکل قدردانی می کنیم و در نسخه بعدی محصول به بررسی آن خواهیم پرداخت."

در سال 2019، پروژه امنیتی برنامه وب باز (OWASP) منتشر شد 10 لیست برتر از مسائل امنیتی API. مشکل فعلی را می‌توان تأیید هویت شکسته کاربر یا پیکربندی نادرست امنیتی در نظر گرفت، که رتبه‌بندی دوم و هفتم در لیست به شمار می‌رود.

جان بامبنک، شکارچی اصلی تهدید در Netenrich، یک ارائه‌دهنده خدمات تحلیلی و عملیات امنیتی، می‌گوید: «من این آسیب‌پذیری را در درجه اول ابزار دیگری برای حرکت جانبی می‌دانم - اساساً راهی دیگر برای ابزاری از نوع Mimikatz».

یکی از دلایل اصلی وجود ضعف امنیتی این است که تیم های مایکروسافت بر اساس چارچوب برنامه Electron است که به شرکت ها اجازه می دهد نرم افزارهای مبتنی بر جاوا اسکریپت، HTML و CSS ایجاد کنند. Vectra’s Peoples می‌گوید با دور شدن شرکت از آن پلتفرم، می‌تواند آسیب‌پذیری را از بین ببرد.

او می‌گوید: «مایکروسافت تلاش زیادی برای حرکت به سمت برنامه‌های وب پیشرفته انجام می‌دهد، که می‌تواند بسیاری از نگرانی‌هایی را که در حال حاضر توسط Electron ایجاد می‌شود، کاهش دهد. "به جای طراحی مجدد اپلیکیشن Electron، فرض من این است که آنها منابع بیشتری را به وضعیت آینده اختصاص می دهند."

Vectra به شرکت‌ها توصیه می‌کند از نسخه مبتنی بر مرورگر Microsoft Teams استفاده کنند که دارای کنترل‌های امنیتی کافی برای جلوگیری از سوء استفاده از مشکلات است. Vectra در مشاوره اعلام کرد، مشتریانی که نیاز به استفاده از برنامه دسکتاپ دارند، باید فایل های برنامه کلیدی را برای دسترسی به هر فرآیندی غیر از برنامه رسمی Teams تماشا کنند.

تمبر زمان:

بیشتر از تاریک خواندن