Uma nova ferramenta está disponível no GitHub que oferece aos invasores uma maneira de aproveitar uma vulnerabilidade recentemente divulgada no Microsoft Teams e entregar automaticamente arquivos maliciosos aos usuários alvo do Teams em uma organização.
A ferramenta, apelidada de “TeamsPhisher”, funciona em ambientes onde uma organização permite comunicações entre seus usuários internos do Teams e usuários externos do Teams – ou locatários. Ele permite que invasores entreguem cargas diretamente na caixa de entrada da vítima sem depender de um phishing tradicional ou engenharia social golpes para chegar lá.
“Dê ao TeamsPhisher um anexo, uma mensagem e uma lista de usuários-alvo do Teams”, disse o desenvolvedor da ferramenta Alex Reid, membro do Red Team da Marinha dos EUA, em uma descrição da ferramenta no GitHub. “Ele fará o upload do anexo para o Sharepoint do remetente e, em seguida, percorrerá a lista de alvos.”
Fluxos de ataques cibernéticos totalmente automatizados
EquipesPhisher incorpora uma técnica que dois pesquisadores do JUMPSEC Labs divulgaram recentemente para contornar um recurso de segurança no Microsoft Teams. Embora o aplicativo de colaboração permita comunicações entre usuários do Teams de diferentes organizações, ele bloqueia o compartilhamento de arquivos entre eles.
Pesquisadores do JUMPSEC Max Corbridge e Tom Ellson encontrei uma maneira relativamente fácil para contornar essa restrição, usando o que é conhecido como técnica Insecure Direct Object Reference (IDOR). Como fornecedor de segurança Varonis observou em uma postagem recente no blog, “Os bugs do IDOR permitem que um invasor interaja maliciosamente com um aplicativo da Web, manipulando uma ‘referência direta ao objeto’, como uma chave de banco de dados, parâmetro de consulta ou nome de arquivo.”
Corbridge e Ellson descobriram que poderiam explorar um problema de IDOR no Teams simplesmente trocando o ID do destinatário interno e externo ao enviar uma solicitação POST. Os dois pesquisadores descobriram que quando uma carga é enviada dessa maneira, a carga é hospedada no domínio do SharePoint do remetente e chega na caixa de entrada da equipe da vítima. Corbridge e Ellson identificaram a vulnerabilidade como afetando todas as organizações que executam o Teams em uma configuração padrão e a descreveram como algo que um invasor poderia usar para contornar mecanismos anti-phishing e outros controles de segurança. A Microsoft reconheceu o problema, mas avaliou-o como algo que não merecia uma solução imediata.
TeamsPhisher incorpora múltiplas técnicas de ataque
Reid descreveu sua ferramenta TeamsPhisher como incorporando as técnicas do JUMPSEC, bem como algumas pesquisas anteriores sobre como aproveitar o Microsoft Teams para acesso inicial por pesquisadores independentes Andrea Santese. Também incorpora técnicas de EquipesEnum, uma ferramenta para enumerar usuários do Teams, que um pesquisador da Secure Systems Engineering GmbH havia lançado anteriormente no GitHub.
De acordo com Reid, a forma como o TeamsPhisher funciona é primeiro enumerar um usuário alvo do Teams e verificar se o usuário pode receber mensagens externas. TeamsPhisher então cria um novo tópico com o usuário alvo. Ele usa uma técnica que permite que a mensagem chegue à caixa de entrada do alvo sem a tela inicial usual “Alguém de fora da sua organização enviou uma mensagem para você, tem certeza de que deseja visualizá-la”, disse Reid.
“Com o novo thread criado entre nosso remetente e o alvo, a mensagem especificada será enviada ao usuário junto com um link para o anexo no Sharepoint”, observou. “Depois que esta mensagem inicial for enviada, o thread criado ficará visível na GUI do Teams do remetente e poderá interagir manualmente, se necessário, caso a caso.”
A Microsoft não respondeu imediatamente a uma solicitação de Dark Reading solicitando comentários sobre se o lançamento do TeamsPhisher poderia ter mudado sua postura na correção do bug encontrado pelo JUMPSEC. A própria JUMPSEC instou as organizações que usam o Microsoft Teams a analisar se há alguma necessidade comercial de permitir comunicações entre usuários internos do Teams e locatários externos.
“Se você não usa o Teams para comunicação regular com locatários externos, reforce seus controles de segurança e remova totalmente a opção”, aconselhou a empresa.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware
- :tem
- :é
- :não
- :onde
- $UP
- 7
- a
- Acesso
- reconhecido
- afetando
- alex
- permitir
- permite
- juntamente
- tb
- completamente
- an
- e
- qualquer
- Aplicação
- SOMOS
- por aí
- Chega
- AS
- avaliado
- At
- ataque
- Automatizado
- automaticamente
- disponível
- base
- BE
- sido
- entre
- Blocos
- Blog
- Bug
- erros
- negócio
- mas a
- by
- CAN
- mudado
- colaboração
- comentar
- Comunicação
- Comunicações
- Empresa
- Configuração
- controles
- poderia
- criado
- cria
- Atualmente
- Ataque cibernético
- Escuro
- Leitura escura
- banco de dados
- Padrão
- entregar
- descrito
- descrição
- Developer
- DID
- diferente
- diretamente
- diretamente
- descoberto
- domínio
- apelidado
- Mais cedo
- fácil
- permitindo
- Engenharia
- ambientes
- Cada
- Explorar
- externo
- Característica
- Arquivos
- Primeiro nome
- Fixar
- Escolha
- encontrado
- da
- ter
- obtendo
- GitHub
- OFERTE
- dá
- GmBH
- tinha
- Ter
- he
- sua
- hospedado
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- ID
- identificado
- if
- Imediato
- imediatamente
- in
- incorporando
- de treinadores em Entrevista Motivacional
- do estado inicial,
- inseguro
- interagir
- interno
- para dentro
- emitem
- IT
- ESTÁ
- se
- jpg
- Chave
- conhecido
- Laboratório
- Alavancagem
- LINK
- Lista
- malwares
- manipulando
- maneira
- manualmente
- max
- mecanismos
- membro
- mensagem
- mensagens
- Microsoft
- equipes da microsoft
- poder
- múltiplo
- você merece...
- Novo
- notado
- objeto
- of
- on
- uma vez
- Opção
- or
- organização
- organizações
- Outros
- A Nossa
- lado de fora
- parâmetro
- Phishing
- platão
- Inteligência de Dados Platão
- PlatãoData
- Publique
- anteriormente
- Leitura
- receber
- recentemente
- recentemente
- Vermelho
- regular
- relativamente
- liberar
- liberado
- contando
- remover
- solicitar
- pesquisa
- investigador
- pesquisadores
- Responder
- restrição
- rever
- corrida
- s
- Dito
- scams
- Peneira
- seguro
- segurança
- busca
- transmissor
- enviei
- compartilhando
- simplesmente
- Redes Sociais
- alguns
- Alguém
- algo
- especificada
- tal
- certo
- sistemas
- Target
- visadas
- tem como alvo
- Profissionais
- equipes
- técnicas
- que
- A
- Eles
- então
- Lá.
- deles
- isto
- Através da
- apertar
- para
- tomo
- ferramenta
- tradicional
- dois
- us
- usar
- Utilizador
- usuários
- usos
- utilização
- fornecedor
- verificar
- Vítima
- Ver
- visível
- vulnerabilidade
- queremos
- Caminho..
- web
- Aplicativo da Web
- BEM
- O Quê
- O que é a
- quando
- se
- enquanto
- precisarão
- de
- sem
- trabalho
- Vocês
- investimentos
- zefirnet
