Microsoft Teams Exploit Tool levert automatisch malware

Er is een nieuwe tool beschikbaar op GitHub waarmee aanvallers een onlangs bekendgemaakte kwetsbaarheid in Microsoft Teams kunnen misbruiken en automatisch kwaadaardige bestanden kunnen afleveren aan gerichte Teams-gebruikers in een organisatie.

De tool, genaamd “TeamsPhisher”, werkt in omgevingen waar een organisatie communicatie tussen interne Teams-gebruikers en externe Teams-gebruikers (of tenants) mogelijk maakt. Hiermee kunnen aanvallers payloads rechtstreeks in de inbox van een slachtoffer afleveren zonder afhankelijk te zijn van traditionele phishing of social engineering oplichting om het daar te krijgen.

"Geef TeamsPhisher een bijlage, een bericht en een lijst met beoogde Teams-gebruikers", zegt Alex Reid, ontwikkelaar van de tool, lid van het Red Team van de Amerikaanse marine, in een beschrijving van de tool op GitHub. “Het uploadt de bijlage naar het Sharepoint van de afzender en doorloopt vervolgens de lijst met doelen.”

Volledig geautomatiseerde cyberaanvalstromen

TeamsPhisher bevat een techniek die twee onderzoekers van JUMPSEC Labs onlangs hebben onthuld om een ​​beveiligingsfunctie in Microsoft Teams te omzeilen. Hoewel de samenwerkingsapp communicatie tussen Teams-gebruikers van verschillende organisaties mogelijk maakt, blokkeert deze het delen van bestanden tussen hen.

JUMPSEC-onderzoekers Max Corbridge en Tom Ellson relatief makkelijke manier gevonden om deze beperking te omzeilen, met behulp van de zogenaamde Insecure Direct Object Reference (IDOR) -techniek. Als beveiligingsleverancier Varonis merkte dit op in een recente blogpost, “Met IDOR-bugs kan een aanvaller kwaadwillig communiceren met een webapplicatie door een ‘direct object referentie’ te manipuleren, zoals een databasesleutel, queryparameter of bestandsnaam.”

Corbridge en Ellson ontdekten dat ze een IDOR-probleem in Teams konden misbruiken door simpelweg de ID van de interne en externe ontvanger om te wisselen bij het indienen van een POST-verzoek. De twee onderzoekers ontdekten dat wanneer een payload op deze manier wordt verzonden, de payload wordt gehost op het SharePoint-domein van de afzender en arriveert in de inbox van het team van het slachtoffer. Corbridge en Ellson hebben vastgesteld dat de kwetsbaarheid elke organisatie treft die Teams in een standaardconfiguratie draait en beschrijven het als iets dat een aanvaller kan gebruiken om antiphishing-mechanismen en andere beveiligingsmaatregelen te omzeilen. Microsoft erkende het probleem, maar beoordeelde het als iets dat geen onmiddellijke oplossing verdiende.

TeamsPhisher bevat meerdere aanvalstechnieken

Reid beschreef zijn TeamsPhisher-tool als een integratie van de technieken van JUMPSEC, evenals een eerder onderzoek naar hoe Microsoft Teams kan worden ingezet voor initiële toegang door een onafhankelijke onderzoeker. Andrea Santese. Het bevat ook technieken van TeamsEnum, een tool voor het opsommen van Teams-gebruikers, die een onderzoeker van Secure Systems Engineering GmbH eerder op GitHub had vrijgegeven.

Volgens Reid is de manier waarop TeamsPhisher werkt eerst een doel-Teams-gebruiker opsommen en verifiëren dat de gebruiker externe berichten kan ontvangen. TeamsPhisher maakt vervolgens een nieuwe thread met de doelgebruiker. Het maakt gebruik van een techniek waarmee het bericht in de inbox van het doelwit terechtkomt zonder het gebruikelijke 'Iemand buiten uw organisatie heeft u een bericht gestuurd, weet u zeker dat u het wilt bekijken', zei Reid. 

“Met de nieuwe thread die tussen onze afzender en het doel wordt aangemaakt, wordt het opgegeven bericht naar de gebruiker verzonden, samen met een link naar de bijlage in Sharepoint”, merkte hij op. “Zodra dit eerste bericht is verzonden, zal de aangemaakte thread zichtbaar zijn in de Teams GUI van de afzender en kan er, indien nodig, van geval tot geval handmatig mee worden gecommuniceerd.”

Microsoft heeft niet onmiddellijk gereageerd op een verzoek van Dark Reading om commentaar te geven op de vraag of de release van TeamsPhisher mogelijk zijn standpunt heeft veranderd over het oplossen van de bug die JUMPSEC heeft gevonden. JUMPSEC zelf heeft er bij organisaties die Microsoft Teams gebruiken op aangedrongen om te beoordelen of er een zakelijke behoefte bestaat om communicatie tussen interne Teams-gebruikers en externe tenants mogelijk te maken. 

“Als u Teams momenteel niet gebruikt voor regelmatige communicatie met externe huurders, verscherp dan uw beveiligingsmaatregelen en verwijder de optie helemaal”, adviseert het bedrijf.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware