Azok a támadók, akik kezdetben hozzáférnek az áldozatok hálózatához, most egy másik módszerrel is bővíthetik hatókörüket: más Microsoft Teams-felhasználók hozzáférési tokenjeit használják az alkalmazottak megszemélyesítésére és a bizalmuk kihasználására.
Ez a Vectra biztonsági cég szerint, amely egy szeptember 13-i figyelmeztetésben kijelentette, hogy a Microsoft Teams titkosítatlanul tárolja a hitelesítési tokeneket, így bármely felhasználó hozzáférhet a titkos fájlhoz speciális engedélyek nélkül. A cég szerint egy helyi vagy távoli rendszer-hozzáféréssel rendelkező támadó ellophatja bármely jelenleg online felhasználó hitelesítő adatait, és megszemélyesítheti őket, még akkor is, ha offline állapotban vannak, és kiadhatja magát a felhasználónak bármely kapcsolódó szolgáltatáson, például a Skype-on keresztül, és megkerülheti a többtényezős hitelesítést ( MFA).
A gyengeség lehetővé teszi a támadók számára, hogy sokkal könnyebben mozogjanak a vállalat hálózatán, mondja Connor Peoples, a Vectra biztonsági építész, a San Jose-i Kalifornia állambeli kiberbiztonsági cég.
"Ez lehetővé teszi a támadások többféle formáját, beleértve az adatok manipulálását, az adathalászatot, az identitás veszélyeztetését, és az üzleti élet megszakítását eredményezheti, ha a hozzáférésre megfelelő szociális manipulációt alkalmaznak" - mondja, megjegyezve, hogy a támadók "megzavarhatják a szervezeten belüli legitim kommunikációt. szelektív megsemmisítéssel, kiszűréssel vagy célzott adathalász támadásokkal.”
A Vectra akkor fedezte fel a problémát, amikor a vállalat kutatói egy ügyfél megbízásából megvizsgálták a Microsoft Teamst, és keresték a módokat az inaktív felhasználók törlésére, amit a Teams általában nem tesz lehetővé. Ehelyett a kutatók azt találták, hogy egy fájl, amely tiszta szövegben tárolta a hozzáférési tokeneket, ami lehetővé tette számukra, hogy API-kon keresztül csatlakozzanak a Skype-hoz és az Outlookhoz. Mivel a Microsoft Teams számos olyan szolgáltatást egyesít – beleértve azokat az alkalmazásokat, a SharePoint és másokat is –, amelyekhez a szoftver hozzáféréséhez tokenekre van szükség, a Vectra áll a tanácsban.
A tokenek segítségével a támadó nem csupán online felhasználóként férhet hozzá bármely szolgáltatáshoz, hanem megkerülheti az MFA-t is, mivel az érvényes token megléte általában azt jelenti, hogy a felhasználó egy második tényezőt is megad.
Végül a támadáshoz nincs szükség speciális engedélyekre vagy fejlett rosszindulatú programokra ahhoz, hogy elegendő hozzáférést biztosítson a támadóknak ahhoz, hogy belső nehézségeket okozzon a megcélzott cégnek – áll a tanácsban.
„Elegendő kompromittált gép esetén a támadók meg tudják szervezni a kommunikációt a szervezeten belül” – áll a cég a tanácsadóban. „Feltételezve a kritikus helyek teljes ellenőrzését – például a vállalat mérnöki vezetője, vezérigazgatója vagy pénzügyi igazgatója – a támadók rávehetik a felhasználókat a szervezet számára káros feladatok elvégzésére. Hogyan gyakorolja ehhez az adathalászat-tesztet?”
Microsoft: Nincs szükség javításra
A Microsoft elismerte a problémákat, de közölte, hogy az a tény, hogy a támadónak már kompromittálnia kell egy rendszert a célhálózaton, csökkentette a fenyegetést, és úgy döntött, hogy nem javítja.
„A leírt technika nem felel meg az azonnali szervizre vonatkozó elvárásunknak, mivel ehhez a támadónak először hozzá kell férnie egy célhálózathoz” – mondta a Microsoft szóvivője a Dark Readingnek küldött nyilatkozatában. "Nagyra értékeljük a Vectra Protect partnerségét a probléma azonosításában és felelősségteljes nyilvánosságra hozatalában, és fontolóra vesszük a megoldást egy jövőbeli termékkiadás során."
2019-ben megjelent az Open Web Application Security Project (OWASP). az API biztonsági problémák 10 legjobb listája. A jelenlegi probléma a hibás felhasználói hitelesítésnek vagy a biztonsági hibás konfigurációnak tekinthető, a második és a hetedik helyen álló probléma a listán.
„Ezt a sebezhetőséget elsősorban az oldalirányú mozgás másik eszközének tekintem – lényegében egy másik lehetőségnek a Mimikatz-típusú eszközhöz” – mondja John Bambenek, a Netenrich biztonsági műveleti és elemzési szolgáltató fő fenyegetésvadásza.
A biztonsági hiányosság egyik fő oka, hogy a Microsoft Teams az Electron alkalmazási keretrendszerre épül, amely lehetővé teszi a vállalatok számára, hogy JavaScript-, HTML- és CSS-alapú szoftvereket hozzanak létre. Ahogy a vállalat eltávolodik ettől a platformtól, képes lesz kiküszöbölni a sebezhetőséget, mondja a Vectra's Peoples.
„A Microsoft erőteljes erőfeszítéseket tesz a progresszív webalkalmazások felé való elmozdulás érdekében, ami enyhítené az Electron által jelenleg felvetett aggodalmakat” – mondja. „Az Electron alkalmazás újratervezése helyett az a feltételezésem, hogy több erőforrást fordítanak a jövő állapotára.”
A Vectra azt javasolja, hogy a cégek a Microsoft Teams böngésző alapú verzióját használják, amely elegendő biztonsági ellenőrzést tartalmaz a problémák kihasználásának megakadályozására. Azoknak az ügyfeleknek, akiknek szükségük van az asztali alkalmazás használatára, „figyelniük kell a kulcsfontosságú alkalmazásfájlokat, hogy a hivatalos Teams alkalmazástól eltérő bármely folyamat hozzáférhessen” – mondta Vectra a tanácsban.
