GitHubissa on saatavilla uusi työkalu, jonka avulla hyökkääjät voivat hyödyntää äskettäin paljastettua Microsoft Teamsin haavoittuvuutta ja toimittaa automaattisesti haitallisia tiedostoja kohdennetuille Teams-käyttäjille organisaatiossa.
Työkalu, jota kutsutaan nimellä "TeamsPhisher", toimii ympäristöissä, joissa organisaatio sallii sisäisten Teams-käyttäjien ja ulkoisten Teams-käyttäjien tai vuokralaisten välisen viestinnän. Sen avulla hyökkääjät voivat toimittaa hyötykuormia suoraan uhrin postilaatikkoon turvautumatta perinteiseen tietojenkalasteluun tai sosiaaliseen manipulointiin huijauksia saada se sinne.
"Anna TeamsPhisherille liite, viesti ja luettelo kohde-Teamsin käyttäjistä", sanoi työkalun kehittäjä Alex Reid, Yhdysvaltain laivaston punaisen tiimin jäsen, työkalun kuvauksessa GitHubissa. "Se lataa liitteen lähettäjän Sharepointiin ja toistaa sitten kohdeluettelon."
Täysin automatisoidut kyberhyökkäysvirrat
TeamsPhisher sisältää tekniikan, jonka kaksi JUMPSEC Labsin tutkijaa paljasti äskettäin Microsoft Teamsin suojausominaisuuden kiertämiseksi. Vaikka yhteistyösovellus mahdollistaa viestinnän eri organisaatioiden Teams-käyttäjien välillä, se estää tiedostojen jakamisen heidän välillään.
JUMPSECin tutkijat Max Corbridge ja Tom Ellson löysi suhteellisen helpon tavan ohittaaksesi tämän rajoituksen käyttämällä ns. Insecure Direct Object Reference (IDOR) -tekniikkaa. Tietoturvatoimittajana Varonis huomautti tuoreessa blogikirjoituksessa, "IDOR-virheet sallivat hyökkääjän olla haitallisesti vuorovaikutuksessa verkkosovelluksen kanssa manipuloimalla "suoraa objektiviittausta", kuten tietokantaavainta, kyselyparametria tai tiedostonimeä."
Corbridge ja Ellson havaitsivat, että he voisivat hyödyntää IDOR-ongelmaa Teamsissa yksinkertaisesti vaihtamalla sisäisen ja ulkoisen vastaanottajan tunnusta lähettäessään POST-pyynnön. Kaksi tutkijaa havaitsivat, että kun hyötykuorma lähetetään tällä tavalla, hyötykuorma isännöi lähettäjän SharePoint-toimialuetta ja saapuu uhrin tiimin postilaatikkoon. Corbridge ja Ellson tunnistivat haavoittuvuuden vaikuttavan kaikkiin organisaatioihin, jotka käyttävät Teamsia oletuskokoonpanossa, ja kuvasivat sen olevan jotain, jonka avulla hyökkääjä voisi ohittaa tietojenkalastelun estomekanismit ja muut suojaustoiminnot. Microsoft myönsi ongelman, mutta arvioi, että se ei ansaitse välitöntä korjausta.
TeamsPhisher sisältää useita hyökkäystekniikoita
Reid kuvaili TeamsPhisher-työkaluaan sisältävän JUMPSECin tekniikat sekä joitain aikaisempia tutkimuksia Microsoft Teamsin hyödyntämisestä riippumattoman tutkijan käyttöön. Andrea Santese. Se sisältää myös tekniikoita TeamsEnum, työkalu Teams-käyttäjien luetteloimiseen, jonka Secure Systems Engineering GmbH:n tutkija oli aiemmin julkaissut GitHubille.
Reidin mukaan TeamsPhisherin toimintatapa on ensin luetella Teams-kohdekäyttäjä ja varmistaa, että käyttäjä voi vastaanottaa ulkoisia viestejä. TeamsPhisher luo sitten uuden säikeen kohdekäyttäjän kanssa. Se käyttää tekniikkaa, jonka avulla viesti saapuu kohteen postilaatikkoon ilman tavallista "Joku organisaatiosi ulkopuolelta lähetti sinulle viestin, oletko varma, että haluat nähdä sen", Reid sanoi.
"Lähettäjämme ja kohteen välille luodun uuden säikeen myötä määritetty viesti lähetetään käyttäjälle yhdessä linkin kanssa Sharepointin liitteeseen", hän huomautti. "Kun tämä ensimmäinen viesti on lähetetty, luotu viestiketju näkyy lähettäjän Teams GUI:ssa ja sitä voidaan tarvittaessa käsitellä manuaalisesti tapauskohtaisesti."
Microsoft ei vastannut välittömästi Dark Reading -pyyntöön, jossa pyydettiin kommenttia siitä, olisiko TeamsPhisherin julkaisu voinut muuttaa kantaansa JUMPSECin löytämän vian korjaamiseen. JUMPSEC itse on kehottanut Microsoft Teamsia käyttäviä organisaatioita tarkistamaan, onko sisäisten Teamsin käyttäjien ja ulkoisten vuokralaisten välisen viestinnän mahdollistamiseksi liiketoimintaa tarvetta.
"Jos et tällä hetkellä käytä Teamsia säännölliseen viestintään ulkopuolisten vuokralaisten kanssa, tiukenta turvavalvontaa ja poista vaihtoehto kokonaan", yhtiö on neuvonut.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 7
- a
- pääsy
- tunnustettu
- vaikuttavat
- alex
- sallia
- mahdollistaa
- pitkin
- Myös
- yhteensä
- an
- ja
- Kaikki
- Hakemus
- OVAT
- noin
- Saapuu
- AS
- arvioitu
- At
- hyökkäys
- Automatisoitu
- automaattisesti
- saatavissa
- perusta
- BE
- ollut
- välillä
- Blocks
- Blogi
- Vika
- Bugs
- liiketoiminta
- mutta
- by
- CAN
- muuttunut
- yhteistyö
- kommentti
- Viestintä
- Yhteydenpito
- yritys
- Konfigurointi
- valvonta
- voisi
- luotu
- luo
- Tällä hetkellä
- Kyberhyökkäys
- tumma
- Pimeää luettavaa
- tietokanta
- oletusarvo
- toimittaa
- on kuvattu
- kuvaus
- Kehittäjä
- DID
- eri
- ohjata
- suoraan
- löysi
- verkkotunnuksen
- dubattuna
- Aikaisemmin
- helppo
- mahdollistaa
- Tekniikka
- ympäristöissä
- Joka
- Käyttää hyväkseen
- ulkoinen
- Ominaisuus
- Asiakirjat
- Etunimi
- Korjata
- varten
- löytyi
- alkaen
- saada
- saada
- GitHub
- Antaa
- antaa
- GmBH
- HAD
- Olla
- he
- hänen
- isännöi
- Miten
- Miten
- HTTPS
- ID
- tunnistettu
- if
- Välitön
- heti
- in
- sisältävät
- itsenäinen
- ensimmäinen
- turvaton
- olla vuorovaikutuksessa
- sisäinen
- tulee
- kysymys
- IT
- SEN
- itse
- jpg
- avain
- tunnettu
- Labs
- Vaikutusvalta
- LINK
- Lista
- haittaohjelmat
- käsittelylaite
- tapa
- käsin
- max
- mekanismit
- jäsen
- viesti
- viestien
- Microsoft
- microsoft-tiimit
- ehkä
- moninkertainen
- Tarve
- Uusi
- huomattava
- objekti
- of
- on
- kerran
- Vaihtoehto
- or
- organisaatio
- organisaatioiden
- Muut
- meidän
- ulkopuolella
- parametri
- Phishing
- Platon
- Platonin tietotieto
- PlatonData
- Kirje
- aiemmin
- Lukeminen
- vastaanottaa
- äskettäinen
- äskettäin
- punainen
- säännöllinen
- suhteellisesti
- vapauta
- julkaistu
- luottaen
- poistaa
- pyyntö
- tutkimus
- tutkija
- Tutkijat
- Vastata
- rajoitus
- arviot
- juoksu
- s
- Said
- huijauksia
- Näytön
- turvallinen
- turvallisuus
- etsiä
- lähettäjä
- lähetetty
- jakaminen
- yksinkertaisesti
- sosiaalinen
- jonkin verran
- Joku
- jotain
- määritelty
- niin
- varma
- järjestelmät
- Kohde
- kohdennettu
- tavoitteet
- joukkue-
- tiimit
- tekniikat
- että
- -
- Niitä
- sitten
- Siellä.
- ne
- tätä
- Kautta
- kiristää
- että
- tom
- työkalu
- perinteinen
- kaksi
- us
- käyttää
- käyttäjä
- Käyttäjät
- käyttötarkoituksiin
- käyttämällä
- myyjä
- todentaa
- Uhri
- Näytä
- näkyvä
- alttius
- haluta
- Tapa..
- verkko
- Web-sovellus
- HYVIN
- Mitä
- Mikä on
- kun
- onko
- vaikka
- tulee
- with
- ilman
- toimii
- Voit
- Sinun
- zephyrnet
