Su GitHub è disponibile un nuovo strumento che offre agli aggressori un modo per sfruttare una vulnerabilità recentemente rivelata in Microsoft Teams e consegnare automaticamente file dannosi agli utenti Teams presi di mira in un’organizzazione.
Lo strumento, denominato “TeamsPhisher”, funziona in ambienti in cui un’organizzazione consente la comunicazione tra i suoi utenti Teams interni e gli utenti Teams esterni – o tenant. Consente agli aggressori di inviare payload direttamente nella casella di posta della vittima senza affidarsi al tradizionale phishing o al social engineering truffe per arrivarci.
"Fornisci a TeamsPhisher un allegato, un messaggio e un elenco di utenti Teams presi di mira", ha affermato lo sviluppatore dello strumento Alex Reid, un membro del Red Team della Marina americana, in una descrizione dello strumento su GitHub. "Caricherà l'allegato sullo Sharepoint del mittente e quindi scorrerà l'elenco delle destinazioni."
Flussi di attacco informatico completamente automatizzati
TeamPhisher incorpora una tecnica che due ricercatori di JUMPSEC Labs hanno recentemente rivelato per aggirare una funzionalità di sicurezza in Microsoft Teams. Sebbene l'app di collaborazione consenta le comunicazioni tra utenti di Teams di diverse organizzazioni, blocca la condivisione di file tra di loro.
I ricercatori di JUMPSEC Max Corbridge e Tom Ellson trovato un modo relativamente semplice per aggirare questa restrizione, utilizzando la cosiddetta tecnica Insecure Direct Object Reference (IDOR). Come fornitore di sicurezza Varonis ha osservato in un recente post sul blog, "I bug IDOR consentono a un utente malintenzionato di interagire in modo dannoso con un'applicazione Web manipolando un 'riferimento diretto a un oggetto' come una chiave di database, un parametro di query o un nome file."
Corbridge ed Ellson hanno scoperto di poter sfruttare un problema IDOR in Teams semplicemente scambiando l'ID del destinatario interno con quello esterno quando si invia una richiesta POST. I due ricercatori hanno scoperto che quando un payload viene inviato in questo modo, il payload viene ospitato sul dominio SharePoint del mittente e arriva nella casella di posta del team della vittima. Corbridge ed Ellson hanno identificato la vulnerabilità che colpisce ogni organizzazione che esegue Teams in una configurazione predefinita e la descrivono come qualcosa che un utente malintenzionato potrebbe utilizzare per aggirare i meccanismi anti-phishing e altri controlli di sicurezza. Microsoft ha riconosciuto il problema ma lo ha valutato come qualcosa che non merita una soluzione immediata.
TeamsPhisher incorpora molteplici tecniche di attacco
Reid ha descritto il suo strumento TeamsPhisher come se incorporasse le tecniche di JUMPSEC nonché alcune ricerche precedenti su come sfruttare Microsoft Teams per l'accesso iniziale da parte di un ricercatore indipendente Andrea Santese. Incorpora anche tecniche di TeamsEnum, uno strumento per enumerare gli utenti di Teams, che un ricercatore di Secure Systems Engineering GmbH aveva precedentemente rilasciato su GitHub.
Secondo Reid, il modo in cui funziona TeamsPhisher è innanzitutto enumerare un utente Teams di destinazione e verificare che l'utente possa ricevere messaggi esterni. TeamsPhisher crea quindi un nuovo thread con l'utente di destinazione. Utilizza una tecnica che consente al messaggio di arrivare nella casella di posta del destinatario senza la solita schermata iniziale "Qualcuno esterno alla tua organizzazione ti ha inviato un messaggio, sei sicuro di volerlo vedere?", ha affermato Reid.
"Con il nuovo thread creato tra il nostro mittente e la destinazione, il messaggio specificato verrà inviato all'utente insieme a un collegamento all'allegato in Sharepoint", ha osservato. "Una volta inviato il messaggio iniziale, il thread creato sarà visibile nella GUI di Teams del mittente e sarà possibile interagire manualmente, se necessario, caso per caso."
Microsoft did not immediately respond to a Dark Reading request seeking comment on whether the release of TeamsPhisher might have changed its stance on remediating the bug that JUMPSEC found. JUMPSEC itself has urged organizations using Microsoft Teams to review whether there is any business need for enabling communications between internal Teams users and external tenants.
"Se attualmente non utilizzi Teams per comunicazioni regolari con inquilini esterni, rafforza i controlli di sicurezza e rimuovi del tutto l'opzione", ha consigliato la società.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware
- :ha
- :È
- :non
- :Dove
- $ SU
- 7
- a
- accesso
- riconosciuto
- che interessano
- alex
- consentire
- consente
- lungo
- anche
- del tutto
- an
- ed
- in qualsiasi
- Applicazioni
- SONO
- in giro
- Arriva
- AS
- valutato
- At
- attacco
- Automatizzata
- automaticamente
- disponibile
- base
- BE
- stato
- fra
- Blocchi
- Blog
- Insetto
- bug
- affari
- ma
- by
- Materiale
- cambiato
- collaborazione
- commento
- Comunicazione
- Comunicazioni
- azienda
- Configurazione
- controlli
- potuto
- creato
- crea
- Attualmente
- Attacco informatico
- Scuro
- Lettura oscura
- Banca Dati
- Predefinito
- consegnare
- descritta
- descrizione
- Costruttori
- DID
- diverso
- dirette
- direttamente
- scoperto
- dominio
- soprannominato
- In precedenza
- facile
- consentendo
- Ingegneria
- ambienti
- Ogni
- Sfruttare
- esterno
- caratteristica
- File
- Nome
- Fissare
- Nel
- essere trovato
- da
- ottenere
- ottenere
- GitHub
- Dare
- dà
- GmbH
- ha avuto
- Avere
- he
- il suo
- ospitato
- Come
- Tutorial
- HTTPS
- ID
- identificato
- if
- immediato
- subito
- in
- incorporando
- studente indipendente
- inizialmente
- insicuro
- interagire
- interno
- ai miglioramenti
- problema
- IT
- SUO
- stessa
- jpg
- Le
- conosciuto
- Labs
- Leva
- LINK
- Lista
- il malware
- manipolazione
- modo
- manualmente
- max
- meccanismi di
- membro
- messaggio
- messaggi
- Microsoft
- squadre di microsoft
- forza
- multiplo
- Bisogno
- New
- noto
- oggetto
- of
- on
- una volta
- Opzione
- or
- organizzazione
- organizzazioni
- Altro
- nostro
- al di fuori
- parametro
- phishing
- Platone
- Platone Data Intelligence
- PlatoneDati
- Post
- in precedenza
- Lettura
- ricevere
- recente
- recentemente
- Rosso
- Basic
- relativamente
- rilasciare
- rilasciato
- basandosi
- rimuovere
- richiesta
- riparazioni
- ricercatore
- ricercatori
- Rispondere
- restrizione
- recensioni
- running
- s
- Suddetto
- truffe
- allo
- sicuro
- problemi di
- cerca
- trasmettitore
- inviato
- compartecipazione
- semplicemente
- Social
- alcuni
- Qualcuno
- qualcosa
- specificato
- tale
- sicuro
- SISTEMI DI TRATTAMENTO
- Target
- mirata
- obiettivi
- team
- le squadre
- tecniche
- che
- Il
- Li
- poi
- Là.
- di
- questo
- Attraverso
- serrare
- a
- tom
- tradizionale
- seconda
- us
- uso
- Utente
- utenti
- usa
- utilizzando
- venditore
- verificare
- Vittima
- Visualizza
- visibile
- vulnerabilità
- volere
- Modo..
- sito web
- applicazione web
- WELL
- Che
- Che cosa è l'
- quando
- se
- while
- volere
- con
- senza
- lavori
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro
