Un nou instrument este disponibil pe GitHub care oferă atacatorilor o modalitate de a valorifica o vulnerabilitate recent dezvăluită în Microsoft Teams și de a livra automat fișiere rău intenționate utilizatorilor Teams vizați dintr-o organizație.
Instrumentul, numit „TeamsPhisher”, funcționează în medii în care o organizație permite comunicațiile între utilizatorii interni Teams și utilizatorii externi Teams - sau chiriași. Permite atacatorilor să livreze încărcături utile direct în căsuța de e-mail a victimei fără a te baza pe un phishing tradițional sau pe o inginerie socială escrocherii pentru a ajunge acolo.
„Oferiți lui TeamsPhisher un atașament, un mesaj și o listă de utilizatori țintă Teams”, a spus dezvoltatorul instrumentului Alex Reid, membru al echipei roșii a Marinei SUA, într-o descriere a instrumentului pe GitHub. „Va încărca atașamentul în Sharepoint-ul expeditorului și apoi va itera prin lista de ținte.”
Fluxuri de atacuri cibernetice complet automatizate
TeamsPhisher încorporează o tehnică pe care doi cercetători de la JUMPSEC Labs au dezvăluit-o recent pentru a evita o funcție de securitate în Microsoft Teams. În timp ce aplicația de colaborare permite comunicațiile între utilizatorii Teams din diferite organizații, blochează partajarea fișierelor între aceștia.
Cercetătorii JUMPSEC Max Corbridge și Tom Ellson a găsit o cale relativ ușoară pentru a ocoli această restricție, utilizând ceea ce este cunoscut sub numele de tehnica IDOR (Insecure Direct Object Reference). Ca furnizor de securitate Varonis a notat într-o postare recentă pe blog, „Erorile IDOR permit unui atacator să interacționeze rău intenționat cu o aplicație web prin manipularea unei „referințe directe la obiect”, cum ar fi o cheie de bază de date, un parametru de interogare sau un nume de fișier.”
Corbridge și Ellson au descoperit că ar putea exploata o problemă IDOR în Teams pur și simplu schimbând ID-ul destinatarului intern și extern atunci când trimit o solicitare POST. Cei doi cercetători au descoperit că atunci când o sarcină utilă este trimisă în acest mod, sarcina utilă este găzduită pe domeniul SharePoint al expeditorului și ajunge în căsuța de e-mail a echipei victimei. Corbridge și Ellson au identificat vulnerabilitatea ca afectând fiecare organizație care rulează Teams într-o configurație implicită și au descris-o ca pe ceva ce un atacator ar putea folosi pentru a ocoli mecanismele anti-phishing și alte controale de securitate. Microsoft a recunoscut problema, dar a evaluat-o ca fiind ceva care nu merită o remediere imediată.
TeamsPhisher încorporează tehnici multiple de atac
Reid a descris instrumentul său TeamsPhisher ca încorporând tehnicile JUMPSEC, precum și unele cercetări anterioare despre cum să folosești Microsoft Teams pentru accesul inițial de către un cercetător independent. Andrea Santese. De asemenea, încorporează tehnici de TeamsEnum, un instrument pentru enumerarea utilizatorilor Teams, pe care un cercetător de la Secure Systems Engineering GmbH l-a lansat anterior pe GitHub.
Potrivit lui Reid, modul în care funcționează TeamsPhisher este de a enumera mai întâi un utilizator Teams țintă și de a verifica dacă utilizatorul poate primi mesaje externe. TeamsPhisher creează apoi un fir nou cu utilizatorul țintă. Folosește o tehnică care permite mesajului să ajungă în căsuța de e-mail a țintei fără ecranul de deschidere obișnuit „Cineva din afara organizației tale te-a trimis un mesaj, ești sigur că vrei să-l vezi”, a spus Reid.
„Odată cu noul fir creat între expeditorul nostru și țintă, mesajul specificat va fi trimis utilizatorului împreună cu un link către atașamentul din Sharepoint”, a menționat el. „Odată ce acest mesaj inițial a fost trimis, firul creat va fi vizibil în GUI Teams a expeditorului și poate fi interacționat manual, dacă este necesar, de la caz la caz.”
Microsoft did not immediately respond to a Dark Reading request seeking comment on whether the release of TeamsPhisher might have changed its stance on remediating the bug that JUMPSEC found. JUMPSEC itself has urged organizations using Microsoft Teams to review whether there is any business need for enabling communications between internal Teams users and external tenants.
„Dacă în prezent nu utilizați Teams pentru comunicare regulată cu chiriașii externi, înăspriți controalele de securitate și eliminați complet opțiunea”, a sfătuit compania.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
- Sursa: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware
- :are
- :este
- :nu
- :Unde
- $UP
- 7
- a
- acces
- recunoscut
- care afectează
- alex
- permite
- permite
- de-a lungul
- de asemenea
- întru totul
- an
- și
- Orice
- aplicație
- SUNT
- în jurul
- soseşte
- AS
- evaluat
- At
- ataca
- Automata
- în mod automat
- disponibil
- bază
- BE
- fost
- între
- Blocuri
- Blog
- Bug
- gandaci
- afaceri
- dar
- by
- CAN
- si-a schimbat hainele;
- colaborare
- comentariu
- Comunicare
- Comunicații
- companie
- Configuraţie
- controale
- ar putea
- a creat
- creează
- În prezent
- Atac cibernetic
- Întuneric
- Lectură întunecată
- Baza de date
- Mod implicit
- livra
- descris
- descriere
- Dezvoltator
- FĂCUT
- diferit
- direcționa
- direct
- a descoperit
- domeniu
- numit
- Mai devreme
- uşor
- permițând
- Inginerie
- medii
- Fiecare
- Exploata
- extern
- Caracteristică
- Fişiere
- First
- Repara
- Pentru
- găsit
- din
- obține
- obtinerea
- GitHub
- Da
- oferă
- GmBH
- HAD
- Avea
- he
- lui
- găzduit
- Cum
- Cum Pentru a
- HTTPS
- ID
- identificat
- if
- imediat
- imediat
- in
- care încorporează
- independent
- inițială
- nesigur
- interacţiona
- intern
- în
- problema
- IT
- ESTE
- în sine
- jpg
- Cheie
- cunoscut
- Labs
- Pârghie
- LINK
- Listă
- malware
- manipulant
- manieră
- manual
- max
- mecanisme
- membru
- mesaj
- mesaje
- Microsoft
- echipe de microsoft
- ar putea
- multiplu
- Nevoie
- Nou
- notat
- obiect
- of
- on
- dată
- Opțiune
- or
- organizație
- organizații
- Altele
- al nostru
- exterior
- parametru
- Phishing
- Plato
- Informații despre date Platon
- PlatoData
- Post
- în prealabil
- Citind
- a primi
- recent
- recent
- Roșu
- regulat
- relativ
- eliberaţi
- eliberat
- bazându-se
- scoate
- solicita
- cercetare
- cercetător
- cercetători
- Răspunde
- restricţie
- revizuiască
- funcţionare
- s
- Said
- escrocherii
- Ecran
- sigur
- securitate
- caută
- expeditor
- trimis
- partajarea
- pur şi simplu
- Social
- unele
- Cineva
- ceva
- specificată
- astfel de
- sigur
- sisteme
- Ţintă
- vizate
- obiective
- echipă
- echipe
- tehnici de
- acea
- Lor
- apoi
- Acolo.
- ei
- acest
- Prin
- strânge
- la
- tom
- instrument
- tradiţional
- Două
- us
- utilizare
- Utilizator
- utilizatorii
- utilizări
- folosind
- vânzător
- verifica
- Victimă
- Vizualizare
- vizibil
- vulnerabilitate
- vrea
- Cale..
- web
- aplicatie web
- BINE
- Ce
- Ce este
- cand
- dacă
- în timp ce
- voi
- cu
- fără
- fabrică
- Tu
- Ta
- zephyrnet
