Gli aggressori che ottengono l’accesso iniziale alla rete di una vittima ora hanno un altro metodo per espandere la propria portata: utilizzare token di accesso di altri utenti di Microsoft Teams per impersonare tali dipendenti e sfruttare la loro fiducia.
Questo secondo la società di sicurezza Vectra, che ha dichiarato in un avviso del 13 settembre che Microsoft Teams archivia i token di autenticazione non crittografati, consentendo a qualsiasi utente di accedere al file dei segreti senza la necessità di autorizzazioni speciali. Secondo l'azienda, un utente malintenzionato con accesso al sistema locale o remoto può rubare le credenziali di qualsiasi utente attualmente online e impersonificarlo, anche quando è offline, e impersonare l'utente attraverso qualsiasi funzionalità associata, come Skype, e bypassare l'autenticazione a più fattori ( MAE).
Questa debolezza offre agli aggressori la possibilità di muoversi molto più facilmente attraverso la rete di un’azienda, afferma Connor Peoples, architetto della sicurezza presso Vectra, una società di sicurezza informatica con sede a San Jose, in California.
"Ciò consente molteplici forme di attacchi tra cui la manomissione dei dati, lo spear-phishing, la compromissione dell'identità e potrebbe portare all'interruzione dell'attività con la giusta ingegneria sociale applicata all'accesso", afferma, sottolineando che gli aggressori possono "manomettere le comunicazioni legittime all'interno di un'organizzazione distruggendo, esfiltrando o impegnandosi selettivamente in attacchi di phishing mirati”.
Vectra ha scoperto il problema quando i ricercatori dell’azienda hanno esaminato Microsoft Teams per conto di un cliente, cercando modi per eliminare gli utenti inattivi, un’azione che in genere Teams non consente. Invece, i ricercatori hanno scoperto un file che memorizzava i token di accesso in testo non crittografato, che dava loro la possibilità di connettersi a Skype e Outlook tramite le loro API. Poiché Microsoft Teams riunisce una varietà di servizi, comprese quelle applicazioni, SharePoint e altri, a cui il software richiede token per accedere, Vectra dichiarato nell'advisory.
Con i token, un utente malintenzionato non solo può ottenere l'accesso a qualsiasi servizio come utente attualmente online, ma anche aggirare l'MFA perché l'esistenza di un token valido in genere significa che l'utente ha fornito un secondo fattore.
In definitiva, l’attacco non richiede autorizzazioni speciali o malware avanzato per garantire agli aggressori un accesso sufficiente a causare difficoltà interne all’azienda presa di mira, afferma l’avviso.
"Con un numero sufficiente di macchine compromesse, gli aggressori possono orchestrare le comunicazioni all'interno di un'organizzazione", ha affermato la società nell'avviso. “Assumendo il pieno controllo di posti critici – come il responsabile tecnico, il CEO o il CFO di un’azienda – gli aggressori possono convincere gli utenti a svolgere attività dannose per l’organizzazione. Come pratichi il test di phishing per questo?"
Microsoft: nessuna patch necessaria
Microsoft ha riconosciuto i problemi, ma ha affermato che il fatto che l'aggressore debba aver già compromesso un sistema sulla rete di destinazione ha ridotto la minaccia posta e ha deciso di non applicare la patch.
"La tecnica descritta non soddisfa i nostri standard per un servizio immediato in quanto richiede che un utente malintenzionato ottenga prima l'accesso a una rete di destinazione", ha detto un portavoce di Microsoft in una dichiarazione inviata a Dark Reading. "Apprezziamo la partnership di Vectra Protect nell'identificare e divulgare in modo responsabile questo problema e prenderemo in considerazione la possibilità di affrontarlo in una futura versione del prodotto."
Nel 2019 è stato rilasciato l'Open Web Application Security Project (OWASP). un elenco dei 10 principali problemi di sicurezza delle API. Il problema attuale potrebbe essere considerato un'autenticazione utente interrotta o un'errata configurazione della sicurezza, il secondo e il settimo problema in classifica nell'elenco.
"Considero questa vulnerabilità principalmente come un altro mezzo per il movimento laterale, essenzialmente un'altra strada per uno strumento di tipo Mimikatz", afferma John Bambenek, principale cacciatore di minacce presso Netenrich, un fornitore di servizi di analisi e operazioni di sicurezza.
Uno dei motivi principali dell’esistenza di questa debolezza di sicurezza è che Microsoft Teams si basa sul framework applicativo Electron, che consente alle aziende di creare software basato su JavaScript, HTML e CSS. Man mano che l’azienda si allontana da quella piattaforma, sarà in grado di eliminare la vulnerabilità, afferma Vectra’s Peoples.
"Microsoft sta facendo un grande sforzo per passare alle Progressive Web Apps, il che attenuerebbe molte delle preoccupazioni attualmente sollevate da Electron", afferma. "Piuttosto che riprogettare l'app Electron, la mia ipotesi è che stiano dedicando più risorse allo stato futuro."
Vectra consiglia alle aziende di utilizzare la versione basata su browser di Microsoft Teams, che dispone di controlli di sicurezza sufficienti per impedire lo sfruttamento dei problemi. Gli utenti che desiderano utilizzare l'applicazione desktop dovrebbero "controllare l'accesso ai file chiave dell'applicazione da parte di processi diversi dall'applicazione Teams ufficiale", ha affermato Vectra nell'avviso.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
