Er is een nieuwe tool beschikbaar op GitHub waarmee aanvallers een onlangs bekendgemaakte kwetsbaarheid in Microsoft Teams kunnen misbruiken en automatisch kwaadaardige bestanden kunnen afleveren aan gerichte Teams-gebruikers in een organisatie.
De tool, genaamd โTeamsPhisherโ, werkt in omgevingen waar een organisatie communicatie tussen interne Teams-gebruikers en externe Teams-gebruikers (of tenants) mogelijk maakt. Hiermee kunnen aanvallers payloads rechtstreeks in de inbox van een slachtoffer afleveren zonder afhankelijk te zijn van traditionele phishing of social engineering oplichting om het daar te krijgen.
"Geef TeamsPhisher een bijlage, een bericht en een lijst met beoogde Teams-gebruikers", zegt Alex Reid, ontwikkelaar van de tool, lid van het Red Team van de Amerikaanse marine, in een beschrijving van de tool op GitHub. โHet uploadt de bijlage naar het Sharepoint van de afzender en doorloopt vervolgens de lijst met doelen.โ
Volledig geautomatiseerde cyberaanvalstromen
TeamsPhisher bevat een techniek die twee onderzoekers van JUMPSEC Labs onlangs hebben onthuld om een โโbeveiligingsfunctie in Microsoft Teams te omzeilen. Hoewel de samenwerkingsapp communicatie tussen Teams-gebruikers van verschillende organisaties mogelijk maakt, blokkeert deze het delen van bestanden tussen hen.
JUMPSEC-onderzoekers Max Corbridge en Tom Ellson relatief makkelijke manier gevonden om deze beperking te omzeilen, met behulp van de zogenaamde Insecure Direct Object Reference (IDOR) -techniek. Als beveiligingsleverancier Varonis merkte dit op in een recente blogpost, โMet IDOR-bugs kan een aanvaller kwaadwillig communiceren met een webapplicatie door een โdirect object referentieโ te manipuleren, zoals een databasesleutel, queryparameter of bestandsnaam.โ
Corbridge en Ellson ontdekten dat ze een IDOR-probleem in Teams konden misbruiken door simpelweg de ID van de interne en externe ontvanger om te wisselen bij het indienen van een POST-verzoek. De twee onderzoekers ontdekten dat wanneer een payload op deze manier wordt verzonden, de payload wordt gehost op het SharePoint-domein van de afzender en arriveert in de inbox van het team van het slachtoffer. Corbridge en Ellson hebben vastgesteld dat de kwetsbaarheid elke organisatie treft die Teams in een standaardconfiguratie draait en beschrijven het als iets dat een aanvaller kan gebruiken om antiphishing-mechanismen en andere beveiligingsmaatregelen te omzeilen. Microsoft erkende het probleem, maar beoordeelde het als iets dat geen onmiddellijke oplossing verdiende.
TeamsPhisher bevat meerdere aanvalstechnieken
Reid beschreef zijn TeamsPhisher-tool als een integratie van de technieken van JUMPSEC, evenals een eerder onderzoek naar hoe Microsoft Teams kan worden ingezet voor initiรซle toegang door een onafhankelijke onderzoeker. Andrea Santese. Het bevat ook technieken van TeamsEnum, een tool voor het opsommen van Teams-gebruikers, die een onderzoeker van Secure Systems Engineering GmbH eerder op GitHub had vrijgegeven.
Volgens Reid is de manier waarop TeamsPhisher werkt eerst een doel-Teams-gebruiker opsommen en verifiรซren dat de gebruiker externe berichten kan ontvangen. TeamsPhisher maakt vervolgens een nieuwe thread met de doelgebruiker. Het maakt gebruik van een techniek waarmee het bericht in de inbox van het doelwit terechtkomt zonder het gebruikelijke 'Iemand buiten uw organisatie heeft u een bericht gestuurd, weet u zeker dat u het wilt bekijken', zei Reid.
โMet de nieuwe thread die tussen onze afzender en het doel wordt aangemaakt, wordt het opgegeven bericht naar de gebruiker verzonden, samen met een link naar de bijlage in Sharepointโ, merkte hij op. โZodra dit eerste bericht is verzonden, zal de aangemaakte thread zichtbaar zijn in de Teams GUI van de afzender en kan er, indien nodig, van geval tot geval handmatig mee worden gecommuniceerd.โ
Microsoft heeft niet onmiddellijk gereageerd op een verzoek van Dark Reading om commentaar te geven op de vraag of de release van TeamsPhisher mogelijk zijn standpunt heeft veranderd over het oplossen van de bug die JUMPSEC heeft gevonden. JUMPSEC zelf heeft er bij organisaties die Microsoft Teams gebruiken op aangedrongen om te beoordelen of er een zakelijke behoefte bestaat om communicatie tussen interne Teams-gebruikers en externe tenants mogelijk te maken.
โAls u Teams momenteel niet gebruikt voor regelmatige communicatie met externe huurders, verscherp dan uw beveiligingsmaatregelen en verwijder de optie helemaalโ, adviseert het bedrijf.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware
- : heeft
- :is
- :niet
- :waar
- $UP
- 7
- a
- toegang
- erkend
- die van invloed
- alex
- toelaten
- toestaat
- langs
- ook
- allemaal samen
- an
- en
- elke
- Aanvraag
- ZIJN
- rond
- Komt aan
- AS
- geรซvalueerd
- At
- aanvallen
- geautomatiseerde
- webmaster.
- Beschikbaar
- basis
- BE
- geweest
- tussen
- Blokken
- Blog
- Bug
- bugs
- bedrijfsdeskundigen
- maar
- by
- CAN
- veranderd
- samenwerking
- commentaar
- Communicatie
- Communicatie
- afstand
- Configuratie
- controles
- kon
- aangemaakt
- creรซert
- Op dit moment
- Cyber โโaanval
- Donker
- Donkere lezing
- Database
- Standaard
- leveren
- beschreven
- beschrijving
- Ontwikkelaar
- DEED
- anders
- directe
- direct
- ontdekt
- domein
- nagesynchroniseerde
- Vroeger
- En het is heel gemakkelijk
- waardoor
- Engineering
- omgevingen
- Alle
- Exploiteren
- extern
- Kenmerk
- Bestanden
- Voornaam*
- Bepalen
- Voor
- gevonden
- oppompen van
- krijgen
- het krijgen van
- GitHub
- Geven
- geeft
- GmBH
- HAD
- Hebben
- he
- zijn
- gehost
- Hoe
- How To
- HTTPS
- ID
- geรฏdentificeerd
- if
- Onmiddellijk
- per direct
- in
- opnemen
- onafhankelijk
- eerste
- onzeker
- interactie
- intern
- in
- kwestie
- IT
- HAAR
- zelf
- jpg
- sleutel
- bekend
- Labs
- Hefboomwerking
- LINK
- Lijst
- malware
- manipuleren
- manier
- handmatig
- max
- mechanismen
- lid
- Bericht
- berichten
- Microsoft
- Microsoft teams
- macht
- meervoudig
- Noodzaak
- New
- bekend
- object
- of
- on
- eens
- Keuze
- or
- organisatie
- organisaties
- Overige
- onze
- buiten
- parameter
- Phishing
- Plato
- Plato gegevensintelligentie
- PlatoData
- Post
- die eerder
- lezing
- ontvangen
- recent
- onlangs
- Rood
- regelmatig
- relatief
- los
- uitgebracht
- te vertrouwen
- verwijderen
- te vragen
- onderzoek
- onderzoeker
- onderzoekers
- Reageren
- beperking
- beoordelen
- lopend
- s
- Zei
- oplichting
- scherm
- beveiligen
- veiligheid
- op zoek naar
- afzender
- verzonden
- delen
- eenvoudigweg
- Social
- sommige
- Iemand
- iets
- gespecificeerd
- dergelijk
- zeker
- Systems
- doelwit
- doelgerichte
- doelen
- team
- teams
- technieken
- dat
- De
- Ze
- harte
- Er.
- ze
- dit
- Door
- aandraaien
- naar
- Tom
- tools
- traditioneel
- twee
- us
- .
- Gebruiker
- gebruikers
- toepassingen
- gebruik
- verkoper
- controleren
- Slachtoffer
- Bekijk
- zichtbaar
- kwetsbaarheid
- willen
- Manier..
- web
- web applicatie
- GOED
- Wat
- Wat is
- wanneer
- of
- en
- wil
- Met
- zonder
- Bedrijven
- You
- Your
- zephyrnet