Atakujący, którzy uzyskują początkowy dostęp do sieci ofiary, mają teraz inną metodę rozszerzenia swojego zasięgu: wykorzystanie tokenów dostępu od innych użytkowników Microsoft Teams w celu podszywania się pod tych pracowników i wykorzystania ich zaufania.
Tak twierdzi firma ochroniarska Vectra, która stwierdziła w komunikacie z 13 września, że Microsoft Teams przechowuje niezaszyfrowane tokeny uwierzytelniające, umożliwiając każdemu użytkownikowi dostęp do tajnego pliku bez potrzeby posiadania specjalnych uprawnień. Według firmy osoba atakująca z lokalnym lub zdalnym dostępem do systemu może ukraść dane uwierzytelniające dowolnego aktualnie online użytkownika i podszyć się pod niego, nawet gdy jest on offline, a także podszyć się pod użytkownika za pośrednictwem dowolnej powiązanej funkcji, takiej jak Skype, i ominąć uwierzytelnianie wieloskładnikowe ( MSZ).
Ta słabość daje atakującym możliwość znacznie łatwiejszego poruszania się po sieci firmy, mówi Connor Peoples, architekt bezpieczeństwa w Vectra, firmie zajmującej się cyberbezpieczeństwem z siedzibą w San Jose w Kalifornii.
„Umożliwia to wiele form ataków, w tym manipulowanie danymi, spear-phishing, narażenie tożsamości, i może prowadzić do przerw w działalności biznesowej przy zastosowaniu odpowiedniej socjotechniki do dostępu”, mówi, zauważając, że osoby atakujące mogą „manipulować legalną komunikacją w organizacji poprzez selektywne niszczenie, eksfiltrację lub angażowanie się w ukierunkowane ataki phishingowe”.
Vectra odkryła ten problem, gdy badacze firmy zbadali Microsoft Teams w imieniu klienta, szukając sposobów na usunięcie nieaktywnych użytkowników, na co Teams zwykle nie pozwala. Zamiast tego badacze odkryli plik, który przechowywał tokeny dostępu w postaci zwykłego tekstu, co dało im możliwość łączenia się ze Skype i Outlookiem za pośrednictwem ich interfejsów API. Ponieważ Microsoft Teams łączy różne usługi — w tym te aplikacje, SharePoint i inne — do których oprogramowanie wymaga tokenów, aby uzyskać dostęp, Vectra podane w zaleceniu.
Dzięki tokenom osoba atakująca może nie tylko uzyskać dostęp do dowolnej usługi jako użytkownik aktualnie online, ale także ominąć usługę MFA, ponieważ istnienie ważnego tokena zazwyczaj oznacza, że użytkownik podał drugi czynnik.
Ostatecznie atak nie wymaga specjalnych uprawnień ani zaawansowanego złośliwego oprogramowania, aby zapewnić atakującym wystarczający dostęp, aby spowodować wewnętrzne trudności w atakowanej firmie, stwierdzono w poradniku.
„Przy wystarczającej liczbie skompromitowanych maszyn osoby atakujące mogą organizować komunikację w organizacji” — stwierdziła firma w poradniku. „Zakładając pełną kontrolę nad krytycznymi stanowiskami — takimi jak szef inżynierii, dyrektor generalny lub dyrektor finansowy firmy — osoby atakujące mogą przekonać użytkowników do wykonywania zadań szkodliwych dla organizacji. Jak ćwiczyć testowanie phishingu?”
Microsoft: Poprawka nie jest wymagana
Microsoft przyznał się do problemów, ale powiedział, że fakt, że osoba atakująca musiała już skompromitować system w sieci docelowej, zmniejszył zagrożenie i zdecydował się nie instalować łatek.
„Opisana technika nie spełnia naszych wymagań dotyczących natychmiastowej obsługi, ponieważ wymaga od atakującego uzyskania dostępu do docelowej sieci” – powiedział rzecznik Microsoftu w oświadczeniu wysłanym do Dark Reading. „Doceniamy partnerstwo Vectra Protect w identyfikowaniu i odpowiedzialnym ujawnianiu tego problemu i rozważymy rozwiązanie go w przyszłej wersji produktu”.
W 2019 roku wydano Open Web Application Security Project (OWASP). lista 10 najważniejszych problemów związanych z bezpieczeństwem API. Bieżący problem można uznać za zepsute uwierzytelnianie użytkownika lub błędną konfigurację zabezpieczeń, zajmując drugie i siódme miejsce na liście.
„Postrzegam tę lukę przede wszystkim jako kolejny środek do przesunięcia bocznego — zasadniczo kolejną drogę dla narzędzia typu Mimikatz” — mówi John Bambenek, główny łowca zagrożeń w firmie Netenrich, dostawcy usług w zakresie operacji bezpieczeństwa i analiz.
Głównym powodem istnienia luki w zabezpieczeniach jest to, że Microsoft Teams opiera się na frameworku aplikacji Electron, który umożliwia firmom tworzenie oprogramowania w oparciu o JavaScript, HTML i CSS. Gdy firma odsunie się od tej platformy, będzie w stanie wyeliminować lukę w zabezpieczeniach, mówi Vectra's Peoples.
„Microsoft dokłada wszelkich starań, aby przejść w kierunku Progressive Web Apps, co złagodziłoby wiele obaw związanych obecnie z Electron” — mówi. „Zamiast zmieniać architekturę aplikacji Electron, zakładam, że poświęcają więcej zasobów na przyszły stan”.
Vectra zaleca firmom korzystanie z przeglądarkowej wersji Microsoft Teams, która ma wystarczającą kontrolę bezpieczeństwa, aby zapobiec wykorzystywaniu problemów. Klienci, którzy muszą korzystać z aplikacji komputerowej, powinni „pilnować, aby kluczowe pliki aplikacji nie miały dostępu do procesów innych niż oficjalna aplikacja Teams”, stwierdził Vectra w poradniku.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych