Os invasores que obtêm acesso inicial à rede da vítima agora têm outro método para expandir seu alcance: usar tokens de acesso de outros usuários do Microsoft Teams para se passar por esses funcionários e explorar sua confiança.
Isso é de acordo com a empresa de segurança Vectra, que declarou em um comunicado de 13 de setembro que o Microsoft Teams armazena tokens de autenticação não criptografados, permitindo que qualquer usuário acesse o arquivo secreto sem a necessidade de permissões especiais. De acordo com a empresa, um invasor com acesso local ou remoto ao sistema pode roubar as credenciais de qualquer usuário atualmente online e se passar por eles, mesmo quando estão offline, e se passar pelo usuário por meio de qualquer recurso associado, como o Skype, e ignorar a autenticação multifator ( MFA).
A fraqueza dá aos invasores a capacidade de se moverem pela rede de uma empresa com muito mais facilidade, diz Connor Peoples, arquiteto de segurança da Vectra, uma empresa de segurança cibernética com sede em San Jose, Califórnia.
“Isso permite múltiplas formas de ataques, incluindo adulteração de dados, spear-phishing, comprometimento de identidade, e pode levar à interrupção dos negócios com a engenharia social correta aplicada ao acesso”, diz ele, observando que os invasores podem “adulterar comunicações legítimas dentro de uma organização destruindo, exfiltrando ou participando seletivamente de ataques de phishing direcionados.”
A Vectra descobriu o problema quando os pesquisadores da empresa examinaram o Microsoft Teams em nome de um cliente, procurando maneiras de excluir usuários inativos, uma ação que o Teams normalmente não permite. Em vez disso, os pesquisadores descobriram um arquivo que armazenava tokens de acesso em texto não criptografado, o que lhes dava a capacidade de se conectar ao Skype e ao Outlook por meio de suas APIs. Como o Microsoft Teams reúne uma variedade de serviços — incluindo esses aplicativos, SharePoint e outros — que o software exige tokens para obter acesso, a Vectra informado na assessoria.
Com os tokens, um invasor pode não apenas obter acesso a qualquer serviço como um usuário atualmente online, mas também ignorar a MFA, porque a existência de um token válido normalmente significa que o usuário forneceu um segundo fator.
No final das contas, o ataque não requer permissões especiais ou malware avançado para conceder aos invasores acesso suficiente para causar dificuldades internas a uma empresa visada, afirmou o comunicado.
“Com um número suficiente de máquinas comprometidas, os invasores podem orquestrar as comunicações dentro de uma organização”, afirmou a empresa no comunicado. “Assumindo o controle total de cargos críticos – como o chefe de engenharia, CEO ou CFO de uma empresa – os invasores podem convencer os usuários a realizar tarefas prejudiciais à organização. Como você pratica testes de phishing para isso?”
Microsoft: nenhum patch necessário
A Microsoft reconheceu os problemas, mas disse que o fato de o invasor já ter comprometido um sistema na rede alvo reduziu a ameaça representada e optou por não corrigir.
“A técnica descrita não atende aos nossos padrões de serviço imediato, pois exige que um invasor primeiro obtenha acesso a uma rede alvo”, disse um porta-voz da Microsoft em comunicado enviado ao Dark Reading. “Agradecemos a parceria da Vectra Protect na identificação e divulgação responsável deste problema e consideraremos abordá-lo num lançamento futuro do produto.”
Em 2019, o Open Web Application Security Project (OWASP) lançou uma lista dos 10 principais problemas de segurança de API. O problema atual pode ser considerado autenticação de usuário quebrada ou configuração incorreta de segurança, o segundo e o sétimo problemas classificados na lista.
“Vejo essa vulnerabilidade principalmente como outro meio de movimento lateral – essencialmente outro caminho para uma ferramenta do tipo Mimikatz”, diz John Bambenek, principal caçador de ameaças da Netenrich, um provedor de operações de segurança e serviços de análise.
Uma das principais razões para a existência da vulnerabilidade de segurança é que o Microsoft Teams é baseado na estrutura de aplicação Electron, que permite às empresas criar software baseado em JavaScript, HTML e CSS. À medida que a empresa se afasta dessa plataforma, será capaz de eliminar a vulnerabilidade, afirma Vectra’s Peoples.
“A Microsoft está fazendo um grande esforço para avançar em direção aos Progressive Web Apps, o que mitigaria muitas das preocupações atualmente trazidas pelo Electron”, diz ele. “Em vez de reestruturar o aplicativo Electron, presumo que eles estão dedicando mais recursos ao estado futuro.”
A Vectra recomenda que as empresas utilizem a versão do Microsoft Teams baseada em navegador, que possui controles de segurança suficientes para evitar a exploração dos problemas. Os clientes que precisam usar o aplicativo de desktop devem “observar os principais arquivos do aplicativo para acesso por qualquer processo que não seja o aplicativo oficial do Teams”, afirmou Vectra no comunicado.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
