Aanvallers die aanvankelijk toegang krijgen tot het netwerk van een slachtoffer, hebben nu een andere methode om hun bereik uit te breiden: toegangstokens van andere Microsoft Teams-gebruikers gebruiken om zich voor te doen als die werknemers en hun vertrouwen uit te buiten.
Dat is volgens beveiligingsbedrijf Vectra, dat in een advies op 13 september verklaarde dat Microsoft Teams authenticatietokens onversleuteld opslaat, waardoor elke gebruiker toegang heeft tot het geheimenbestand zonder speciale machtigingen. Volgens het bedrijf kan een aanvaller met lokale of externe systeemtoegang de inloggegevens stelen van gebruikers die momenteel online zijn en zich voordoen als deze, zelfs als ze offline zijn, en zich voordoen als de gebruiker via een bijbehorende functie, zoals Skype, en multifactor-authenticatie omzeilen ( MFB).
Door de zwakte kunnen aanvallers zich veel gemakkelijker door het netwerk van een bedrijf bewegen, zegt Connor Peoples, beveiligingsarchitect bij Vectra, een in San Jose, Californië gevestigd cyberbeveiligingsbedrijf.
"Dit maakt meerdere vormen van aanvallen mogelijk, waaronder geknoei met gegevens, spear-phishing, identiteitscompromis, en kan leiden tot bedrijfsonderbreking met de juiste social engineering toegepast op de toegang", zegt hij, erop wijzend dat aanvallers "kunnen knoeien met legitieme communicatie binnen een organisatie." door selectief te vernietigen, te exfiltreren of gerichte phishing-aanvallen uit te voeren.”
Vectra ontdekte het probleem toen de onderzoekers van het bedrijf Microsoft Teams onderzochten namens een klant, op zoek naar manieren om gebruikers te verwijderen die inactief zijn, een actie die Teams doorgaans niet toestaat. In plaats daarvan ontdekten de onderzoekers dat een bestand dat toegangstokens in duidelijke tekst opsloeg, waardoor ze via hun API's verbinding konden maken met Skype en Outlook. Omdat Microsoft Teams een verscheidenheid aan services samenbrengt - inclusief die applicaties, SharePoint en andere - waarvoor de software tokens nodig heeft om toegang te krijgen, Vectra vermeld in het advies.
Met de tokens kan een aanvaller niet alleen toegang krijgen tot elke service als een gebruiker die momenteel online is, maar ook MFA omzeilen, omdat het bestaan van een geldig token doorgaans betekent dat de gebruiker een tweede factor heeft opgegeven.
Uiteindelijk vereist de aanval geen speciale machtigingen of geavanceerde malware om aanvallers voldoende toegang te geven om interne problemen te veroorzaken voor een gericht bedrijf, aldus het advies.
"Met voldoende gecompromitteerde machines kunnen aanvallers de communicatie binnen een organisatie orkestreren", aldus het bedrijf in het advies. “Door volledige controle uit te oefenen over kritieke seats, zoals het hoofd engineering, de CEO of CFO van een bedrijf, kunnen aanvallers gebruikers overtuigen om taken uit te voeren die schadelijk zijn voor de organisatie. Hoe oefen je hiervoor phish-testen?”
Microsoft: geen patch nodig
Microsoft erkende de problemen, maar zei dat het feit dat de aanvaller al een systeem op het doelnetwerk moet hebben gecompromitteerd, de dreiging verminderde en ervoor koos om niet te patchen.
"De beschreven techniek voldoet niet aan onze eisen voor onmiddellijk onderhoud, aangezien een aanvaller eerst toegang moet krijgen tot een doelnetwerk", zei een woordvoerder van Microsoft in een verklaring aan Dark Reading. "We waarderen de samenwerking van Vectra Protect bij het identificeren en op verantwoorde wijze bekendmaken van dit probleem en zullen overwegen dit in een toekomstige productrelease aan te pakken."
In 2019 is het Open Web Application Security Project (OWASP) uitgebracht een top 10 lijst met API-beveiligingsproblemen. Het huidige probleem kan worden beschouwd als een verbroken gebruikersauthenticatie of een verkeerde configuratie van de beveiliging, de problemen op de tweede en zevende plaats op de lijst.
"Ik beschouw deze kwetsbaarheid in de eerste plaats als een ander middel voor laterale beweging - in wezen een andere mogelijkheid voor een Mimikatz-type tool", zegt John Bambenek, hoofddreigingsjager bij Netenrich, een dienstverlener op het gebied van beveiligingsoperaties en -analyse.
Een belangrijke reden voor het bestaan van de beveiligingszwakte is dat Microsoft Teams is gebaseerd op het Electron-applicatieframework, waarmee bedrijven software kunnen maken op basis van JavaScript, HTML en CSS. Naarmate het bedrijf dat platform verlaat, kan het de kwetsbaarheid elimineren, zegt Vectra's Peoples.
"Microsoft doet er alles aan om over te stappen op Progressive Web Apps, wat veel van de zorgen die Electron momenteel met zich meebrengt, zou wegnemen", zegt hij. "In plaats van de Electron-app opnieuw te ontwerpen, neem ik aan dat ze meer middelen besteden aan de toekomstige staat."
Vectra raadt de bedrijven aan om de browsergebaseerde versie van Microsoft Teams te gebruiken, die voldoende beveiligingscontroles heeft om misbruik van de problemen te voorkomen. Klanten die de desktop-applicatie moeten gebruiken, moeten "belangrijke applicatiebestanden bekijken voor toegang door andere processen dan de officiële Teams-applicatie", aldus Vectra in het advies.
