피해자의 네트워크에 대한 초기 액세스 권한을 얻은 공격자는 이제 다른 Microsoft Teams 사용자의 액세스 토큰을 사용하여 해당 직원을 가장하고 신뢰를 이용하는 또 다른 방법으로 범위를 확장할 수 있습니다.
이는 13월 XNUMX일 권고에서 Microsoft Teams가 인증 토큰을 암호화되지 않은 상태로 저장하므로 모든 사용자가 특별한 권한 없이 비밀 파일에 액세스할 수 있다고 밝힌 보안 회사 Vectra에 따르면 그렇습니다. 회사에 따르면 로컬 또는 원격 시스템 액세스 권한이 있는 공격자는 현재 온라인 사용자의 자격 증명을 훔쳐 오프라인 상태에서도 가장할 수 있으며 Skype와 같은 관련 기능을 통해 사용자를 가장하고 다단계 인증을 우회할 수 있습니다. MFA).
캘리포니아 산호세에 본사를 둔 사이버 보안 회사인 Vectra의 보안 설계자 Connor Peoples는 이러한 약점으로 인해 공격자가 회사의 네트워크를 훨씬 더 쉽게 통과할 수 있게 되었다고 말합니다.
그는 "이로 인해 데이터 조작, 스피어 피싱, 신원 침해 등 다양한 형태의 공격이 가능해지고 액세스에 올바른 사회 공학이 적용되면 비즈니스 중단으로 이어질 수 있습니다."라며 공격자가 "조직 내 합법적인 통신을 변조할 수 있습니다"라고 말했습니다. 선택적으로 파괴, 유출 또는 표적 피싱 공격에 참여함으로써.”
Vectra는 회사 연구원이 클라이언트를 대신하여 Microsoft Teams를 조사하여 비활성 사용자를 삭제하는 방법을 모색하면서 문제를 발견했습니다. 이는 Teams에서 일반적으로 허용하지 않는 작업입니다. 대신 연구원들은 API를 통해 Skype 및 Outlook에 연결할 수 있는 기능을 제공하는 액세스 토큰을 일반 텍스트로 저장하는 파일을 발견했습니다. Microsoft Teams는 응용 프로그램, SharePoint 및 기타 소프트웨어를 포함하여 소프트웨어에 액세스하려면 토큰이 필요한 다양한 서비스를 통합하므로 Vectra 권고에 명시된.
토큰을 사용하면 공격자는 현재 온라인 사용자로서 모든 서비스에 액세스할 수 있을 뿐만 아니라 MFA를 우회할 수도 있습니다. 유효한 토큰이 존재한다는 것은 일반적으로 사용자가 두 번째 요소를 제공했음을 의미하기 때문입니다.
결국, 공격자는 공격자에게 표적 회사에 내부 어려움을 야기할 수 있는 충분한 액세스 권한을 부여하기 위해 특별한 권한이나 고급 악성 코드가 필요하지 않다고 밝혔습니다.
“충분히 손상된 시스템이 있으면 공격자는 조직 내 통신을 조율할 수 있습니다.”라고 회사는 권고에 명시했습니다. “회사의 엔지니어링 책임자, CEO 또는 CFO와 같은 중요한 자리를 완전히 통제한다고 가정하면 공격자는 사용자가 조직에 피해를 주는 작업을 수행하도록 유도할 수 있습니다. 이를 위해 피싱 테스트를 어떻게 연습합니까?”
Microsoft: 패치가 필요하지 않습니다
마이크로소프트는 이 문제를 인정했지만 공격자가 이미 대상 네트워크의 시스템을 손상시켜야 한다는 사실이 위협을 줄였으며 패치를 선택하지 않기로 결정했다고 밝혔습니다.
Microsoft 대변인은 Dark Reading에 보낸 성명에서 “설명된 기술은 공격자가 먼저 대상 네트워크에 액세스해야 하기 때문에 즉각적인 서비스 기준을 충족하지 않습니다.”라고 말했습니다. "우리는 이 문제를 식별하고 책임감 있게 공개하는 Vectra Protect의 파트너십에 감사하며 향후 제품 릴리스에서 해결하는 것을 고려할 것입니다."
2019년에는 OWASP(Open Web Application Security Project)가 출시되었습니다. API 보안 문제 상위 10개 목록. 현재 문제는 목록에서 두 번째 및 일곱 번째 순위인 문제인 손상된 사용자 인증 또는 잘못된 보안 구성으로 간주될 수 있습니다.
보안 운영 및 분석 서비스 제공업체인 Netenrich의 수석 위협 사냥꾼인 John Bambenek은 "저는 이 취약점을 기본적으로 측면 이동을 위한 또 다른 수단, 즉 본질적으로 Mimikatz 유형 도구의 또 다른 수단으로 봅니다."라고 말합니다.
보안 취약점이 존재하는 주요 이유는 Microsoft Teams가 Electron 애플리케이션 프레임워크를 기반으로 하기 때문입니다. 이를 통해 기업은 JavaScript, HTML 및 CSS 기반 소프트웨어를 만들 수 있습니다. 회사가 해당 플랫폼에서 멀어짐에 따라 취약점을 제거할 수 있을 것이라고 Vectra의 Peoples는 말합니다.
“Microsoft는 현재 Electron이 가져오는 많은 우려를 완화할 프로그레시브 웹 앱(Progressive Web Apps)으로 전환하기 위해 많은 노력을 기울이고 있습니다.”라고 그는 말합니다. "Electron 앱을 다시 설계하기보다는 미래 상태를 위해 더 많은 리소스를 투자하고 있다고 가정합니다."
Vectra는 회사가 문제 악용을 방지할 수 있는 충분한 보안 제어 기능을 갖춘 브라우저 기반 버전의 Microsoft Teams를 사용할 것을 권장합니다. Vectra는 데스크톱 애플리케이션을 사용해야 하는 고객은 “공식 팀즈 애플리케이션 이외의 프로세스에서 액세스할 수 있도록 주요 애플리케이션 파일을 확인해야 한다”고 권고에 명시했습니다.
