Microsoft टीमों में टोकन-खनन की कमजोरी परफेक्ट फिश बनाती है

जो हमलावर किसी पीड़ित के नेटवर्क तक प्रारंभिक पहुंच प्राप्त करते हैं, उनके पास अब अपनी पहुंच बढ़ाने का एक और तरीका है: उन कर्मचारियों का प्रतिरूपण करने और उनके विश्वास का फायदा उठाने के लिए अन्य माइक्रोसॉफ्ट टीम उपयोगकर्ताओं से एक्सेस टोकन का उपयोग करना।

यह सुरक्षा फर्म वेक्ट्रा के अनुसार है, जिसने 13 सितंबर को एक सलाह में कहा था कि माइक्रोसॉफ्ट टीम प्रमाणीकरण टोकन को अनएन्क्रिप्टेड संग्रहीत करती है, जिससे किसी भी उपयोगकर्ता को विशेष अनुमति की आवश्यकता के बिना गुप्त फ़ाइल तक पहुंचने की इजाजत मिलती है। फर्म के अनुसार, स्थानीय या रिमोट सिस्टम एक्सेस वाला एक हमलावर वर्तमान में किसी भी ऑनलाइन उपयोगकर्ता के क्रेडेंशियल चुरा सकता है और ऑफ़लाइन होने पर भी उनका प्रतिरूपण कर सकता है, और स्काइप जैसी किसी भी संबद्ध सुविधा के माध्यम से उपयोगकर्ता का प्रतिरूपण कर सकता है, और मल्टीफैक्टर प्रमाणीकरण को बायपास कर सकता है ( एमएफए)।

कैलिफोर्निया के सैन जोस स्थित साइबर सुरक्षा फर्म वेक्ट्रा के सुरक्षा वास्तुकार कॉनर पीपल्स का कहना है कि कमजोरी हमलावरों को कंपनी के नेटवर्क के माध्यम से अधिक आसानी से आगे बढ़ने की क्षमता देती है।

"यह डेटा छेड़छाड़, स्पीयर-फ़िशिंग, पहचान समझौता सहित कई प्रकार के हमलों को सक्षम बनाता है, और पहुंच पर लागू सही सोशल इंजीनियरिंग के साथ व्यापार में रुकावट पैदा कर सकता है," वह कहते हैं, हमलावर "किसी संगठन के भीतर वैध संचार के साथ छेड़छाड़ कर सकते हैं" चुनिंदा रूप से नष्ट करने, घुसपैठ करने या लक्षित फ़िशिंग हमलों में शामिल होने से।”

वेक्ट्रा को इस मुद्दे का पता तब चला जब कंपनी के शोधकर्ताओं ने एक क्लाइंट की ओर से माइक्रोसॉफ्ट टीम्स की जांच की, जो निष्क्रिय उपयोगकर्ताओं को हटाने के तरीकों की तलाश कर रहे थे, एक ऐसी कार्रवाई जिसे टीम्स आमतौर पर अनुमति नहीं देती है। इसके बजाय, शोधकर्ताओं ने पाया कि एक फ़ाइल जो एक्सेस टोकन को क्लियरटेक्स्ट में संग्रहीत करती है, जिससे उन्हें अपने एपीआई के माध्यम से स्काइप और आउटलुक से जुड़ने की क्षमता मिलती है। चूँकि Microsoft Teams विभिन्न प्रकार की सेवाओं को एक साथ लाती है - जिनमें वे एप्लिकेशन, SharePoint और अन्य शामिल हैं - जिनकी पहुँच प्राप्त करने के लिए सॉफ़्टवेयर को टोकन की आवश्यकता होती है, वेक्ट्रा एडवाइजरी में कहा गया है.

टोकन के साथ, एक हमलावर न केवल वर्तमान में ऑनलाइन उपयोगकर्ता के रूप में किसी भी सेवा तक पहुंच प्राप्त कर सकता है, बल्कि एमएफए को भी बायपास कर सकता है क्योंकि वैध टोकन के अस्तित्व का आम तौर पर मतलब है कि उपयोगकर्ता ने दूसरा कारक प्रदान किया है।

सलाह में कहा गया है कि अंत में, हमले के लिए हमलावरों को किसी लक्षित कंपनी के लिए आंतरिक कठिनाइयां पैदा करने के लिए पर्याप्त पहुंच प्रदान करने के लिए विशेष अनुमति या उन्नत मैलवेयर की आवश्यकता नहीं होती है।

कंपनी ने सलाह में कहा, "पर्याप्त समझौता मशीनों के साथ, हमलावर एक संगठन के भीतर संचार व्यवस्थित कर सकते हैं।" “महत्वपूर्ण सीटों पर पूर्ण नियंत्रण मानकर - जैसे कि कंपनी के इंजीनियरिंग प्रमुख, सीईओ, या सीएफओ - हमलावर उपयोगकर्ताओं को संगठन के लिए हानिकारक कार्य करने के लिए मना सकते हैं। आप इसके लिए फ़िश परीक्षण का अभ्यास कैसे करते हैं?"

माइक्रोसॉफ्ट: कोई पैच आवश्यक नहीं

माइक्रोसॉफ्ट ने मुद्दों को स्वीकार किया लेकिन कहा कि तथ्य यह है कि हमलावर को पहले से ही लक्ष्य नेटवर्क पर एक सिस्टम से समझौता करने की आवश्यकता है, जिससे उत्पन्न खतरा कम हो गया है, और पैच न करने का विकल्प चुना है।

माइक्रोसॉफ्ट के प्रवक्ता ने डार्क रीडिंग को भेजे गए एक बयान में कहा, "वर्णित तकनीक तत्काल सर्विसिंग के लिए हमारी शर्तों को पूरा नहीं करती है क्योंकि इसके लिए हमलावर को पहले लक्ष्य नेटवर्क तक पहुंच प्राप्त करने की आवश्यकता होती है।" "हम इस मुद्दे की पहचान करने और जिम्मेदारी से खुलासा करने में वेक्ट्रा प्रोटेक्ट की साझेदारी की सराहना करते हैं और भविष्य में उत्पाद जारी करने पर विचार करेंगे।"

2019 में, ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट (OWASP) जारी किया गया एपीआई सुरक्षा मुद्दों की शीर्ष 10 सूची. वर्तमान समस्या को या तो टूटा हुआ उपयोगकर्ता प्रमाणीकरण या सुरक्षा गलत कॉन्फ़िगरेशन माना जा सकता है, जो सूची में दूसरे और सातवें स्थान पर है।

"मैं इस भेद्यता को मुख्य रूप से पार्श्व आंदोलन के लिए एक और साधन के रूप में देखता हूं - अनिवार्य रूप से मिमिकाट्ज़-प्रकार के उपकरण के लिए एक और एवेन्यू," सुरक्षा संचालन और विश्लेषण सेवा प्रदाता, नेटेनरिच के प्रमुख खतरा शिकारी जॉन बाम्बेनेक कहते हैं।

सुरक्षा कमज़ोरी के अस्तित्व का एक प्रमुख कारण यह है कि Microsoft Teams इलेक्ट्रॉन एप्लिकेशन फ़्रेमवर्क पर आधारित है, जो कंपनियों को जावास्क्रिप्ट, HTML और CSS पर आधारित सॉफ़्टवेयर बनाने की अनुमति देता है। वेक्ट्राज़ पीपल्स का कहना है कि जैसे-जैसे कंपनी उस प्लेटफ़ॉर्म से दूर जाएगी, वह भेद्यता को ख़त्म करने में सक्षम होगी।

उनका कहना है, "माइक्रोसॉफ्ट प्रोग्रेसिव वेब ऐप्स की ओर बढ़ने के लिए एक मजबूत प्रयास कर रहा है, जो वर्तमान में इलेक्ट्रॉन द्वारा लाई गई कई चिंताओं को कम करेगा।" "इलेक्ट्रॉन ऐप को फिर से तैयार करने के बजाय, मेरी धारणा यह है कि वे भविष्य की स्थिति में अधिक संसाधन समर्पित कर रहे हैं।"

वेक्ट्रा अनुशंसा करता है कि कंपनियां Microsoft Teams के ब्राउज़र-आधारित संस्करण का उपयोग करें, जिसमें मुद्दों के शोषण को रोकने के लिए पर्याप्त सुरक्षा नियंत्रण हैं। जिन ग्राहकों को डेस्कटॉप एप्लिकेशन का उपयोग करने की आवश्यकता है, उन्हें "आधिकारिक टीम एप्लिकेशन के अलावा किसी भी प्रक्रिया तक पहुंच के लिए मुख्य एप्लिकेशन फ़ाइलों को देखना चाहिए," वेक्ट्रा ने सलाह में कहा।