Un nouvel outil est disponible sur GitHub qui permet aux attaquants d'exploiter une vulnérabilité récemment révélée dans Microsoft Teams et de transmettre automatiquement des fichiers malveillants aux utilisateurs Teams ciblés d'une organisation.
L'outil, baptisé « TeamsPhisher », fonctionne dans des environnements dans lesquels une organisation autorise les communications entre ses utilisateurs Teams internes et les utilisateurs Teams externes – ou locataires. Il permet aux attaquants de transmettre des charges utiles directement dans la boîte de réception d'une victime. sans recourir à un phishing traditionnel ou à une ingénierie sociale des arnaques pour y arriver.
"Donnez à TeamsPhisher une pièce jointe, un message et une liste des utilisateurs cibles de Teams", a déclaré le développeur de l'outil Alex Reid, membre de l'équipe rouge de l'US Navy, dans une description de l'outil sur GitHub. "Il téléchargera la pièce jointe sur le Sharepoint de l'expéditeur, puis parcourra la liste des cibles."
Flux de cyberattaques entièrement automatisés
ÉquipesPhisher intègre une technique que deux chercheurs des JUMPSEC Labs ont récemment révélée pour contourner une fonctionnalité de sécurité dans Microsoft Teams. Bien que l'application de collaboration permette les communications entre les utilisateurs Teams de différentes organisations, elle bloque le partage de fichiers entre eux.
Max Corbridge et Tom Ellson, chercheurs de JUMPSEC trouvé un moyen relativement simple pour contourner cette restriction, en utilisant ce que l'on appelle la technique IDOR (Insecure Direct Object Reference). En tant que fournisseur de sécurité Varonis a noté dans un article de blog récent, « Les bogues IDOR permettent à un attaquant d'interagir de manière malveillante avec une application Web en manipulant une « référence d'objet directe » telle qu'une clé de base de données, un paramètre de requête ou un nom de fichier.
Corbridge et Ellson ont découvert qu'ils pouvaient exploiter un problème d'IDOR dans Teams en changeant simplement l'ID du destinataire interne et externe lors de la soumission d'une requête POST. Les deux chercheurs ont découvert que lorsqu'une charge utile est envoyée de cette manière, la charge utile est hébergée sur le domaine SharePoint de l'expéditeur et arrive dans la boîte de réception de l'équipe de la victime. Corbridge et Ellson ont identifié la vulnérabilité comme affectant toutes les organisations exécutant Teams dans une configuration par défaut et l'ont décrite comme quelque chose qu'un attaquant pourrait utiliser pour contourner les mécanismes anti-phishing et autres contrôles de sécurité. Microsoft a reconnu le problème mais l'a évalué comme quelque chose qui ne méritait pas une solution immédiate.
TeamsPhisher intègre plusieurs techniques d'attaque
Reid a décrit son outil TeamsPhisher comme intégrant les techniques de JUMPSEC ainsi que des recherches antérieures sur la manière d'exploiter Microsoft Teams pour un accès initial par un chercheur indépendant. Andréa Santese. Il intègre également des techniques de ÉquipesEnum, un outil d'énumération des utilisateurs Teams, qu'un chercheur de Secure Systems Engineering GmbH avait précédemment publié sur GitHub.
Selon Reid, le fonctionnement de TeamsPhisher consiste d'abord à énumérer un utilisateur Teams cible et à vérifier que l'utilisateur peut recevoir des messages externes. TeamsPhisher crée ensuite un nouveau fil de discussion avec l'utilisateur cible. Il utilise une technique qui permet au message d'arriver dans la boîte de réception de la cible sans l'habituel écran de démarrage « Quelqu'un en dehors de votre organisation vous a envoyé un message, êtes-vous sûr de vouloir le voir », a déclaré Reid.
"Avec le nouveau fil de discussion créé entre notre expéditeur et la cible, le message spécifié sera envoyé à l'utilisateur avec un lien vers la pièce jointe dans Sharepoint", a-t-il noté. "Une fois ce message initial envoyé, le fil de discussion créé sera visible dans l'interface graphique Teams de l'expéditeur et pourra être utilisé manuellement, si nécessaire, au cas par cas."
Microsoft n'a pas immédiatement répondu à une demande de Dark Reading sollicitant des commentaires sur la possibilité que la publication de TeamsPhisher ait modifié sa position sur la correction du bogue détecté par JUMPSEC. JUMPSEC lui-même a exhorté les organisations utilisant Microsoft Teams à vérifier s'il existe un besoin commercial pour permettre les communications entre les utilisateurs internes de Teams et les locataires externes.
"Si vous n'utilisez pas actuellement Teams pour communiquer régulièrement avec des locataires externes, renforcez vos contrôles de sécurité et supprimez complètement cette option", a conseillé l'entreprise.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware
- :possède
- :est
- :ne pas
- :où
- $UP
- 7
- a
- accès
- reconnu
- affectant
- alex
- permettre
- permet
- le long de
- aussi
- tout à fait
- an
- ainsi que le
- tous
- Application
- SONT
- autour
- Arrive
- AS
- évalué
- At
- attaquer
- Automatisation
- automatiquement
- disponibles
- base
- BE
- était
- jusqu'à XNUMX fois
- Blocs
- Blog
- Punaise
- bogues
- la performance des entreprises
- mais
- by
- CAN
- modifié
- collaboration
- commentaire
- Communication
- Communications
- Société
- configuration
- contrôles
- pourriez
- créée
- crée des
- Lecture
- Cyber-attaque
- Foncé
- Lecture sombre
- Base de données
- Réglage par défaut
- livrer
- décrit
- la description
- Développeur
- DID
- différent
- directement
- découvert
- domaine
- doublé
- Plus tôt
- Easy
- permettant
- ENGINEERING
- environnements
- Chaque
- Exploiter
- externe
- Fonctionnalité
- Fichiers
- Prénom
- Fixer
- Pour
- trouvé
- De
- obtenez
- obtention
- GitHub
- Donner
- donne
- GmBH
- ait eu
- Vous avez
- he
- sa
- organisé
- Comment
- How To
- HTTPS
- ID
- identifié
- if
- Immédiat
- immédiatement
- in
- incorporation
- indépendant
- initiale
- peu sûr
- interagir
- interne
- développement
- aide
- IT
- SES
- lui-même
- jpg
- ACTIVITES
- connu
- Labs
- Levier
- LINK
- Liste
- malware
- manipuler
- manière
- manuellement
- max
- mécanismes
- membre
- message
- messages
- Microsoft
- équipes de Microsoft
- pourrait
- plusieurs
- Besoin
- Nouveauté
- noté
- objet
- of
- on
- une fois
- Option
- or
- organisation
- organisations
- Autre
- nos
- au contrôle
- paramètre
- phishing
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Post
- précédemment
- en cours
- recevoir
- récent
- récemment
- Rouge
- Standard
- relativement
- libérer
- libéré
- s'appuyer
- supprimez
- nécessaire
- un article
- chercheur
- chercheurs
- Réagir
- restriction
- Avis
- pour le running
- s
- Saïd
- les escroqueries
- pour écran
- sécurisé
- sécurité
- recherche
- expéditeur
- envoyé
- partage
- simplement
- Réseaux sociaux
- quelques
- Quelqu'un
- quelque chose
- spécifié
- tel
- sûr
- Système
- Target
- des campagnes marketing ciblées,
- objectifs
- équipe
- équipes
- techniques
- qui
- La
- Les
- puis
- Là.
- l'ont
- this
- Avec
- serrer
- à
- tom
- outil
- traditionnel
- deux
- us
- utilisé
- Utilisateur
- utilisateurs
- Usages
- en utilisant
- vendeur
- vérifier
- Victime
- Voir
- visible
- vulnérabilité
- souhaitez
- Façon..
- web
- application Web
- WELL
- Quoi
- Qu’est ce qu'
- quand
- que
- tout en
- sera
- comprenant
- sans
- vos contrats
- Vous n'avez
- Votre
- zéphyrnet
