Słabość wydobywania tokenów w Microsoft Teams prowadzi do idealnego phishingu

Atakujący, którzy uzyskują początkowy dostęp do sieci ofiary, mają teraz inną metodę rozszerzenia swojego zasięgu: wykorzystanie tokenów dostępu od innych użytkowników Microsoft Teams w celu podszywania się pod tych pracowników i wykorzystania ich zaufania.

Tak twierdzi firma ochroniarska Vectra, która stwierdziła w komunikacie z 13 września, że ​​Microsoft Teams przechowuje niezaszyfrowane tokeny uwierzytelniające, umożliwiając każdemu użytkownikowi dostęp do tajnego pliku bez potrzeby posiadania specjalnych uprawnień. Według firmy osoba atakująca z lokalnym lub zdalnym dostępem do systemu może ukraść dane uwierzytelniające dowolnego aktualnie online użytkownika i podszyć się pod niego, nawet gdy jest on offline, a także podszyć się pod użytkownika za pośrednictwem dowolnej powiązanej funkcji, takiej jak Skype, i ominąć uwierzytelnianie wieloskładnikowe ( MSZ).

Ta słabość daje atakującym możliwość znacznie łatwiejszego poruszania się po sieci firmy, mówi Connor Peoples, architekt bezpieczeństwa w Vectra, firmie zajmującej się cyberbezpieczeństwem z siedzibą w San Jose w Kalifornii.

„Umożliwia to wiele form ataków, w tym manipulowanie danymi, spear-phishing, narażenie tożsamości, i może prowadzić do przerw w działalności biznesowej przy zastosowaniu odpowiedniej socjotechniki do dostępu”, mówi, zauważając, że osoby atakujące mogą „manipulować legalną komunikacją w organizacji poprzez selektywne niszczenie, eksfiltrację lub angażowanie się w ukierunkowane ataki phishingowe”.

Vectra odkryła ten problem, gdy badacze firmy zbadali Microsoft Teams w imieniu klienta, szukając sposobów na usunięcie nieaktywnych użytkowników, na co Teams zwykle nie pozwala. Zamiast tego badacze odkryli plik, który przechowywał tokeny dostępu w postaci zwykłego tekstu, co dało im możliwość łączenia się ze Skype i Outlookiem za pośrednictwem ich interfejsów API. Ponieważ Microsoft Teams łączy różne usługi — w tym te aplikacje, SharePoint i inne — do których oprogramowanie wymaga tokenów, aby uzyskać dostęp, Vectra podane w zaleceniu.

Dzięki tokenom osoba atakująca może nie tylko uzyskać dostęp do dowolnej usługi jako użytkownik aktualnie online, ale także ominąć usługę MFA, ponieważ istnienie ważnego tokena zazwyczaj oznacza, że ​​użytkownik podał drugi czynnik.

Ostatecznie atak nie wymaga specjalnych uprawnień ani zaawansowanego złośliwego oprogramowania, aby zapewnić atakującym wystarczający dostęp, aby spowodować wewnętrzne trudności w atakowanej firmie, stwierdzono w poradniku.

„Przy wystarczającej liczbie skompromitowanych maszyn osoby atakujące mogą organizować komunikację w organizacji” — stwierdziła firma w poradniku. „Zakładając pełną kontrolę nad krytycznymi stanowiskami — takimi jak szef inżynierii, dyrektor generalny lub dyrektor finansowy firmy — osoby atakujące mogą przekonać użytkowników do wykonywania zadań szkodliwych dla organizacji. Jak ćwiczyć testowanie phishingu?”

Microsoft: Poprawka nie jest wymagana

Microsoft przyznał się do problemów, ale powiedział, że fakt, że osoba atakująca musiała już skompromitować system w sieci docelowej, zmniejszył zagrożenie i zdecydował się nie instalować łatek.

„Opisana technika nie spełnia naszych wymagań dotyczących natychmiastowej obsługi, ponieważ wymaga od atakującego uzyskania dostępu do docelowej sieci” – powiedział rzecznik Microsoftu w oświadczeniu wysłanym do Dark Reading. „Doceniamy partnerstwo Vectra Protect w identyfikowaniu i odpowiedzialnym ujawnianiu tego problemu i rozważymy rozwiązanie go w przyszłej wersji produktu”.

W 2019 roku wydano Open Web Application Security Project (OWASP). lista 10 najważniejszych problemów związanych z bezpieczeństwem API. Bieżący problem można uznać za zepsute uwierzytelnianie użytkownika lub błędną konfigurację zabezpieczeń, zajmując drugie i siódme miejsce na liście.

„Postrzegam tę lukę przede wszystkim jako kolejny środek do przesunięcia bocznego — zasadniczo kolejną drogę dla narzędzia typu Mimikatz” — mówi John Bambenek, główny łowca zagrożeń w firmie Netenrich, dostawcy usług w zakresie operacji bezpieczeństwa i analiz.

Głównym powodem istnienia luki w zabezpieczeniach jest to, że Microsoft Teams opiera się na frameworku aplikacji Electron, który umożliwia firmom tworzenie oprogramowania w oparciu o JavaScript, HTML i CSS. Gdy firma odsunie się od tej platformy, będzie w stanie wyeliminować lukę w zabezpieczeniach, mówi Vectra's Peoples.

„Microsoft dokłada wszelkich starań, aby przejść w kierunku Progressive Web Apps, co złagodziłoby wiele obaw związanych obecnie z Electron” — mówi. „Zamiast zmieniać architekturę aplikacji Electron, zakładam, że poświęcają więcej zasobów na przyszły stan”.

Vectra zaleca firmom korzystanie z przeglądarkowej wersji Microsoft Teams, która ma wystarczającą kontrolę bezpieczeństwa, aby zapobiec wykorzystywaniu problemów. Klienci, którzy muszą korzystać z aplikacji komputerowej, powinni „pilnować, aby kluczowe pliki aplikacji nie miały dostępu do procesów innych niż oficjalna aplikacja Teams”, stwierdził Vectra w poradniku.