被害者のネットワークへの最初のアクセスを取得した攻撃者は、他の Microsoft Teams ユーザーからのアクセス トークンを使用してそれらの従業員になりすまし、その信頼を悪用するという別の方法で範囲を拡大しています。
これはセキュリティ会社 Vectra によると、13 月 XNUMX 日の勧告で、Microsoft Teams は認証トークンを暗号化せずに保存するため、ユーザーは特別な権限を必要とせずにシークレット ファイルにアクセスできると述べています。 同社によると、ローカルまたはリモートのシステム アクセスを持つ攻撃者は、現在オンラインのユーザーの資格情報を盗み、たとえオフラインであってもなりすまし、Skype などの関連機能を介してユーザーになりすまし、多要素認証をバイパスすることができます ( MFA)。
カリフォルニア州サンノゼに本拠を置くサイバーセキュリティ会社、Vectra のセキュリティ アーキテクトである Connor Peoples 氏は、この脆弱性により、攻撃者は企業のネットワークをはるかに簡単に通過できるようになると述べています。
「これにより、データの改ざん、スピア フィッシング、ID の侵害など、複数の形式の攻撃が可能になり、アクセスに適切なソーシャル エンジニアリングが適用されると、ビジネスの中断につながる可能性があります」と彼は言い、攻撃者は「組織内の正当な通信を改ざんできる」と指摘します標的型フィッシング攻撃を選択的に破壊、盗み出し、または関与することによって。」
Vectra は、同社の研究者がクライアントに代わって Microsoft Teams を調査し、非アクティブなユーザーを削除する方法を探していたときに問題を発見しました。これは、Teams では通常許可されていないアクションです。 代わりに、研究者は、アクセス トークンを平文で保存するファイルを発見しました。これにより、API を介して Skype や Outlook に接続できるようになりました。 Microsoft Teams は、これらのアプリケーション、SharePoint などを含むさまざまなサービスをまとめているため、ソフトウェアがアクセスするにはトークンが必要です。 アドバイザリーに記載.
トークンを使用すると、攻撃者は現在オンラインのユーザーとして任意のサービスにアクセスできるだけでなく、MFA をバイパスすることもできます。これは、有効なトークンが存在するということは通常、ユーザーが XNUMX 番目の要素を提供したことを意味するためです。
最終的に、この攻撃には特別な許可や高度なマルウェアを必要とせず、攻撃者に標的の企業の内部問題を引き起こすのに十分なアクセス権を付与する必要はないと、アドバイザリは述べています。
「侵害されたマシンが十分にあると、攻撃者は組織内の通信を調整できます」と同社はアドバイザリで述べています。 「企業のエンジニアリング責任者、CEO、または CFO などの重要な席を完全に制御すると仮定すると、攻撃者は、組織に損害を与えるタスクを実行するようにユーザーを誘導できます。 このためにフィッシングテストをどのように実践していますか?」
Microsoft: パッチは不要
マイクロソフトは問題を認めましたが、攻撃者が標的のネットワーク上のシステムをすでに侵害している必要があるという事実により、脅威が軽減され、パッチを適用しないことを選択したと述べました。
Microsoft の広報担当者は、Dark Reading に送られた声明の中で、「攻撃者が最初に標的のネットワークへのアクセスを取得する必要があるため、説明されている手法は、直ちにサービスを提供するための基準を満たしていません」と述べています。 「この問題を特定し、責任を持って開示した Vectra Protect のパートナーシップに感謝し、今後の製品リリースで対処することを検討します。」
2019 年、Open Web Application Security Project (OWASP) がリリースされました。 API セキュリティ問題のトップ 10 リスト. 現在の問題は、ユーザー認証の失敗またはセキュリティの構成ミスのいずれかと考えられ、リストの XNUMX 番目と XNUMX 番目にランク付けされた問題です。
「私はこの脆弱性を主にラテラル ムーブメントのもう XNUMX つの手段、つまり Mimikatz 型ツールのもう XNUMX つの手段だと考えています」と、セキュリティ オペレーションおよび分析サービス プロバイダーである Netenrich のプリンシパル スレット ハンターである John Bambenek は述べています。
セキュリティの脆弱性が存在する主な理由は、Microsoft Teams が Electron アプリケーション フレームワークに基づいているためです。これにより、企業は JavaScript、HTML、および CSS に基づいてソフトウェアを作成できます。 Vectra の Peoples は、Vectra がそのプラットフォームから離れることで、脆弱性を排除できるようになると述べています。
「Microsoft は、Progressive Web Apps に移行するための強力な努力を行っています。これにより、Electron によって現在もたらされている懸念の多くが軽減されます」と彼は言います。 「Electron アプリを再構築するのではなく、将来の状態により多くのリソースを投入していると私は推測しています。」
Vectra は、企業が Microsoft Teams のブラウザー ベース バージョンを使用することを推奨しています。これには、問題の悪用を防ぐのに十分なセキュリティ コントロールがあります。 デスクトップ アプリケーションを使用する必要がある顧客は、「公式の Teams アプリケーション以外のプロセスによる主要なアプリケーション ファイルへのアクセスを監視する」必要があると Vectra はアドバイザリで述べています。
