مهاجمانی که به شبکه قربانی دسترسی اولیه پیدا میکنند، اکنون روش دیگری برای گسترش دسترسی خود دارند: استفاده از نشانههای دسترسی سایر کاربران تیم مایکروسافت برای جعل هویت آن کارمندان و سوء استفاده از اعتماد آنها.
طبق گفته شرکت امنیتی Vectra، که در توصیهای در 13 سپتامبر اعلام کرد که تیمهای مایکروسافت توکنهای احراز هویت را بدون رمز ذخیره میکند و به هر کاربری اجازه میدهد بدون نیاز به مجوزهای خاص به فایل اسرار دسترسی داشته باشد. به گفته این شرکت، یک مهاجم با دسترسی به سیستم محلی یا از راه دور میتواند اعتبار هر کاربر آنلاین فعلی را بدزدد و جعل هویت آنها را حتی زمانی که آفلاین هستند جعل کند و از طریق هر ویژگی مرتبط مانند Skype جعل هویت کاربر را جعل کند و احراز هویت چند عاملی را دور بزند. وزارت امور خارجه).
کانر پیلز، معمار امنیتی در Vectra، یک شرکت امنیت سایبری مستقر در سان خوزه در کالیفرنیا، میگوید: این ضعف به مهاجمان این امکان را میدهد که به راحتی در شبکه شرکت حرکت کنند.
او میگوید: «این روشهای متعددی از حملات از جمله دستکاری دادهها، فیشینگ نیزهای، به خطر انداختن هویت را ممکن میسازد، و میتواند منجر به وقفه در کسبوکار با استفاده از مهندسی اجتماعی مناسب در دسترسی شود. از طریق تخریب انتخابی، نفوذ یا درگیر شدن در حملات فیشینگ هدفمند.»
Vectra این مشکل را زمانی کشف کرد که محققان شرکت تیمهای مایکروسافت را از طرف یک مشتری بررسی کردند و به دنبال راههایی برای حذف کاربران غیرفعال بودند، اقدامی که تیم معمولاً اجازه نمیدهد. در عوض، محققان دریافتند که فایلی است که توکنهای دسترسی را در متن شفاف ذخیره میکند، که به آنها امکان اتصال به Skype و Outlook را از طریق APIهایشان میدهد. از آنجایی که تیم های مایکروسافت سرویس های مختلفی را گرد هم می آورد - از جمله آن برنامه ها، شیرپوینت و سایرین - که نرم افزار برای دسترسی به آنها به توکن نیاز دارد، Vectra در مشاوره بیان شده است.
با توکن ها، یک مهاجم نه تنها می تواند به عنوان یک کاربر آنلاین فعلی به هر سرویس دسترسی پیدا کند، بلکه می تواند MFA را نیز دور بزند، زیرا وجود یک توکن معتبر معمولاً به این معنی است که کاربر عامل دوم را ارائه کرده است.
در پایان، این حمله به مجوزهای ویژه یا بدافزار پیشرفته نیاز ندارد تا به مهاجمان دسترسی کافی برای ایجاد مشکلات داخلی برای یک شرکت هدف ایجاد کند.
این شرکت در مشاوره اعلام کرد: با وجود ماشینهای در معرض خطر کافی، مهاجمان میتوانند ارتباطات درون یک سازمان را هماهنگ کنند. «با فرض کنترل کامل صندلیهای حیاتی - مانند رئیس مهندسی، مدیر عامل یا مدیر مالی یک شرکت - مهاجمان میتوانند کاربران را متقاعد کنند تا وظایفی را که به سازمان آسیب میرساند، انجام دهند. چگونه تست فیش را برای این کار تمرین می کنید؟
مایکروسافت: بدون نیاز به وصله
مایکروسافت این مشکلات را پذیرفت، اما گفت که این واقعیت که مهاجم باید قبلاً سیستمی را در شبکه هدف به خطر انداخته باشد، تهدید ایجاد شده را کاهش داد و تصمیم گرفت وصله نکند.
یکی از سخنگویان مایکروسافت در بیانیه ای که برای Dark Reading ارسال شده است، گفت: «تکنیک شرح داده شده با نوار ما برای سرویس فوری مطابقت ندارد، زیرا مستلزم آن است که مهاجم ابتدا به یک شبکه هدف دسترسی پیدا کند. "ما از مشارکت Vectra Protect در شناسایی و افشای مسئولانه این مشکل قدردانی می کنیم و در نسخه بعدی محصول به بررسی آن خواهیم پرداخت."
در سال 2019، پروژه امنیتی برنامه وب باز (OWASP) منتشر شد 10 لیست برتر از مسائل امنیتی API. مشکل فعلی را میتوان تأیید هویت شکسته کاربر یا پیکربندی نادرست امنیتی در نظر گرفت، که رتبهبندی دوم و هفتم در لیست به شمار میرود.
جان بامبنک، شکارچی اصلی تهدید در Netenrich، یک ارائهدهنده خدمات تحلیلی و عملیات امنیتی، میگوید: «من این آسیبپذیری را در درجه اول ابزار دیگری برای حرکت جانبی میدانم - اساساً راهی دیگر برای ابزاری از نوع Mimikatz».
یکی از دلایل اصلی وجود ضعف امنیتی این است که تیم های مایکروسافت بر اساس چارچوب برنامه Electron است که به شرکت ها اجازه می دهد نرم افزارهای مبتنی بر جاوا اسکریپت، HTML و CSS ایجاد کنند. Vectra’s Peoples میگوید با دور شدن شرکت از آن پلتفرم، میتواند آسیبپذیری را از بین ببرد.
او میگوید: «مایکروسافت تلاش زیادی برای حرکت به سمت برنامههای وب پیشرفته انجام میدهد، که میتواند بسیاری از نگرانیهایی را که در حال حاضر توسط Electron ایجاد میشود، کاهش دهد. "به جای طراحی مجدد اپلیکیشن Electron، فرض من این است که آنها منابع بیشتری را به وضعیت آینده اختصاص می دهند."
Vectra به شرکتها توصیه میکند از نسخه مبتنی بر مرورگر Microsoft Teams استفاده کنند که دارای کنترلهای امنیتی کافی برای جلوگیری از سوء استفاده از مشکلات است. Vectra در مشاوره اعلام کرد، مشتریانی که نیاز به استفاده از برنامه دسکتاپ دارند، باید فایل های برنامه کلیدی را برای دسترسی به هر فرآیندی غیر از برنامه رسمی Teams تماشا کنند.