Hyökkääjillä, jotka saavat alustavan pääsyn uhrin verkkoon, on nyt toinen tapa laajentaa kattavuuttaan: käyttää muiden Microsoft Teams -käyttäjien käyttötunnuksia esiintyäkseen kyseisinä työntekijöinä ja hyödyntääkseen heidän luottamustaan.
Näin kertoo tietoturvayritys Vectra, joka totesi 13. syyskuuta antamassaan ilmoituksessa, että Microsoft Teams säilyttää todennustunnukset salaamattomina, jolloin kuka tahansa käyttäjä pääsee käsiksi salaisuustiedostoon ilman erityisiä käyttöoikeuksia. Yrityksen mukaan hyökkääjä, jolla on paikallinen tai etäkäyttöoikeus järjestelmään, voi varastaa kaikkien tällä hetkellä verkossa olevien käyttäjien tunnistetiedot ja esiintyä heinä, vaikka he ovat offline-tilassa, ja esiintyä käyttäjänä minkä tahansa siihen liittyvän ominaisuuden, kuten Skypen, kautta ja ohittaa monitekijätodennuksen ( MFA).
Heikkous antaa hyökkääjille mahdollisuuden liikkua yrityksen verkossa paljon helpommin, sanoo Connor Peoples, San Josessa Kaliforniassa toimivan kyberturvallisuusyrityksen Vectran turvallisuusarkkitehti.
"Tämä mahdollistaa useat hyökkäykset, mukaan lukien tietojen peukaloinnin, keihään kalastelun, identiteetin vaarantamisen ja voi johtaa liiketoiminnan keskeytymiseen käyttöoikeuksiin sovelletulla oikealla sosiaalisen manipuloinnin avulla", hän sanoo ja huomauttaa, että hyökkääjät voivat "peukaloida laillista viestintää organisaation sisällä. valikoivasti tuhoamalla, suodattamalla tai osallistumalla kohdennettuihin tietojenkalasteluhyökkäuksiin."
Vectra havaitsi ongelman, kun yrityksen tutkijat tutkivat Microsoft Teamsia asiakkaan puolesta ja etsivät tapoja poistaa passiivisia käyttäjiä, mitä Teams ei yleensä salli. Sen sijaan tutkijat havaitsivat, että tiedosto, joka tallensi pääsytunnukset selkeänä tekstinä, mikä antoi heille mahdollisuuden muodostaa yhteys Skypeen ja Outlookiin sovellusliittymiensä kautta. Koska Microsoft Teams yhdistää useita palveluita – mukaan lukien ne sovellukset, SharePoint ja muut – joihin ohjelmisto vaatii tunnuksia päästäkseen, Vectra lausunnossa.
Tunnusteiden avulla hyökkääjä ei voi vain päästä mihin tahansa palveluun tällä hetkellä online-käyttäjänä, vaan myös ohittaa MFA:n, koska kelvollisen tunnuksen olemassaolo tarkoittaa tyypillisesti sitä, että käyttäjä on antanut toisen tekijän.
Lopulta hyökkäys ei vaadi erityisiä lupia tai kehittyneitä haittaohjelmia antaakseen hyökkääjille riittävästi pääsyä aiheuttamaan sisäisiä vaikeuksia kohteena olevalle yritykselle, neuvolassa todettiin.
"Riittävästi vaarantuneiden koneiden avulla hyökkääjät voivat organisoida viestintää organisaation sisällä", yhtiö totesi tiedotteessa. "Olettaessaan kriittisten paikkojen täydellistä hallintaa - kuten yrityksen suunnittelupäällikköä, toimitusjohtajaa tai talousjohtajaa - hyökkääjät voivat saada käyttäjät suorittamaan organisaatiolle vahingollisia tehtäviä. Kuinka harjoittelet phish-testausta tätä varten?"
Microsoft: Korjausta ei tarvita
Microsoft myönsi ongelmat, mutta sanoi, että se, että hyökkääjän on jo täytynyt vaarantaa kohdeverkon järjestelmä, vähensi aiheuttamaa uhkaa ja päätti olla korjaamatta.
"Kuvattu tekniikka ei täytä välitöntä huoltoa koskevaa vaatimusta, koska se vaatii hyökkääjän pääsemään ensin kohdeverkkoon", Microsoftin tiedottaja sanoi Dark Readingille lähetetyssä lausunnossa. "Arvostamme Vectra Protectin kumppanuutta tämän ongelman tunnistamisessa ja vastuullisessa paljastamisessa ja harkitsemme puuttumista tulevaan tuotejulkaisuun."
Vuonna 2019 Open Web Application Security Project (OWASP) julkaistiin 10 suosituinta API-tietoturvaongelmien luetteloa. Nykyistä ongelmaa voidaan pitää joko Broken User Authentication tai Security Misconfiguration -virheenä, listan toiseksi ja seitsemänneksi sijalla.
"Näen tämän haavoittuvuuden ensisijaisesti toisena keinona liikkua sivusuunnassa - lähinnä toisena keinona Mimikatz-tyyppiselle työkalulle", sanoo John Bambenek, turvallisuustoimintojen ja analytiikkapalvelujen tarjoajan Netenrichin tärkein uhkien metsästäjä.
Keskeinen syy tietoturvaheikkouden olemassaoloon on se, että Microsoft Teams perustuu Electron-sovelluskehykseen, jonka avulla yritykset voivat luoda JavaScript-, HTML- ja CSS-pohjaisia ohjelmistoja. Kun yritys siirtyy pois tältä alustalta, se pystyy poistamaan haavoittuvuuden, Vectran Peoples sanoo.
"Microsoft pyrkii voimakkaasti siirtymään kohti progressiivisia verkkosovelluksia, mikä lieventäisi monia Electronin tällä hetkellä tuomia huolenaiheita", hän sanoo. "Electron-sovelluksen uudelleenarkkitehtimisen sijaan oletukseni on, että he käyttävät enemmän resursseja tulevaisuuden tilaan."
Vectra suosittelee yrityksiä käyttämään Microsoft Teamsin selainpohjaista versiota, jossa on riittävästi suojauksia estämään ongelmien hyödyntäminen. Asiakkaiden, jotka tarvitsevat työpöytäsovellusta, tulisi "katsoa tärkeimmät sovellustiedostot muiden prosessien kuin virallisen Teams-sovelluksen pääsyä varten", Vectra totesi neuvonnassa.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
