Angripere som først får tilgang til et offers nettverk, har nå en annen metode for å utvide rekkevidden sin: å bruke tilgangstokener fra andre Microsoft Teams-brukere for å etterligne disse ansatte og utnytte tilliten deres.
Det er ifølge sikkerhetsfirmaet Vectra, som uttalte i en advarsel 13. september at Microsoft Teams lagrer autentiseringstokener ukryptert, slik at enhver bruker kan få tilgang til hemmelighetsfilen uten behov for spesielle tillatelser. Ifølge firmaet kan en angriper med lokal eller ekstern systemtilgang stjele legitimasjonen for alle online-brukere og etterligne dem, selv når de er frakoblet, og etterligne brukeren gjennom en hvilken som helst tilknyttet funksjon, for eksempel Skype, og omgå multifaktorautentisering ( MFA).
Svakheten gir angripere muligheten til å bevege seg gjennom et selskaps nettverk mye lettere, sier Connor Peoples, sikkerhetsarkitekt hos Vectra, et San Jose, California-basert cybersikkerhetsfirma.
"Dette muliggjør flere former for angrep, inkludert tukling av data, spyd-phishing, identitetskompromittering, og kan føre til forretningsavbrudd med den riktige sosiale konstruksjonen brukt på tilgangen," sier han, og bemerker at angripere kan "tukle med legitim kommunikasjon i en organisasjon ved selektivt å ødelegge, eksfiltrere eller delta i målrettede phishing-angrep."
Vectra oppdaget problemet da selskapets forskere undersøkte Microsoft Teams på vegne av en klient, og lette etter måter å slette brukere som er inaktive, en handling som Teams vanligvis ikke tillater. I stedet fant forskerne at en fil som lagret tilgangstokener i klartekst, noe som ga dem muligheten til å koble til Skype og Outlook gjennom deres APIer. Fordi Microsoft Teams samler en rekke tjenester – inkludert de applikasjonene, SharePoint og andre – som programvaren krever tokens for å få tilgang, Vectra oppgitt i rådet.
Med tokens kan en angriper ikke bare få tilgang til en hvilken som helst tjeneste som en for øyeblikket online bruker, men også omgå MFA fordi eksistensen av et gyldig token vanligvis betyr at brukeren har gitt en andre faktor.
Til slutt krever ikke angrepet spesielle tillatelser eller avansert skadelig programvare for å gi angripere nok tilgang til å forårsake interne vanskeligheter for et målrettet selskap, heter det i rådgiveren.
"Med nok kompromitterte maskiner kan angripere orkestrere kommunikasjon i en organisasjon," uttalte selskapet i meldingen. «Forutsatt full kontroll over kritiske seter – som et selskaps ingeniørsjef, administrerende direktør eller finansdirektør – kan angripere overbevise brukere om å utføre oppgaver som skader organisasjonen. Hvordan praktiserer du phish-testing for dette?»
Microsoft: Ingen oppdatering nødvendig
Microsoft erkjente problemene, men sa at det faktum at angriperen allerede må ha kompromittert et system på målnettverket reduserte trusselen, og valgte å ikke lappe.
"Teknikken som beskrives oppfyller ikke vår bar for umiddelbar service, da den krever at en angriper først får tilgang til et målnettverk," sa en Microsoft-talsperson i en uttalelse sendt til Dark Reading. "Vi setter pris på Vectra Protects partnerskap for å identifisere og ansvarlig avsløre dette problemet og vil vurdere å ta opp i en fremtidig produktutgivelse."
I 2019 ble Open Web Application Security Project (OWASP) utgitt en topp 10-liste over API-sikkerhetsproblemer. Det nåværende problemet kan betraktes som enten ødelagt brukerautentisering eller en feilkonfigurasjon av sikkerhet, det andre og syvende rangerte problemet på listen.
"Jeg ser på denne sårbarheten som et annet middel for sideveis bevegelse primært - i hovedsak en annen vei for et Mimikatz-verktøy," sier John Bambenek, hovedtrusseljeger hos Netenrich, en leverandør av sikkerhetsoperasjoner og analysetjenester.
En sentral årsak til eksistensen av sikkerhetssvakheten er at Microsoft Teams er basert på Electron-applikasjonsrammeverket, som lar bedrifter lage programvare basert på JavaScript, HTML og CSS. Når selskapet beveger seg bort fra den plattformen, vil det være i stand til å eliminere sårbarheten, sier Vectra's Peoples.
"Microsoft gjør en sterk innsats for å bevege seg mot progressive nettapper, noe som vil dempe mange av bekymringene Electron for tiden bringer," sier han. "I stedet for å bygge om Electron-appen, er min antagelse at de bruker mer ressurser på den fremtidige staten."
Vectra anbefaler selskapene å bruke den nettleserbaserte versjonen av Microsoft Teams, som har nok sikkerhetskontroller til å forhindre utnyttelse av problemene. Kunder som trenger å bruke skrivebordsapplikasjonen bør "se nøkkelapplikasjonsfiler for tilgang til andre prosesser enn den offisielle Teams-applikasjonen," uttalte Vectra i meldingen.
