Atacatorii care obțin acces inițial la rețeaua unei victime au acum o altă metodă de a-și extinde acoperirea: utilizarea jetoanelor de acces de la alți utilizatori Microsoft Teams pentru a uzurpa identitatea acelor angajați și a le exploata încrederea.
Aceasta este conform firmei de securitate Vectra, care a declarat într-un aviz din 13 septembrie că Microsoft Teams stochează token-uri de autentificare necriptate, permițând oricărui utilizator să acceseze fișierul de secrete fără a fi nevoie de permisiuni speciale. Potrivit companiei, un atacator cu acces la sistem local sau de la distanță poate fura acreditările oricăror utilizatori în prezent online și îi poate uzurpa identitatea, chiar și atunci când sunt offline, și uzurpa identitatea utilizatorului prin orice caracteristică asociată, cum ar fi Skype, și ocolește autentificarea multifactorială ( MAE).
Slăbiciunea le oferă atacatorilor capacitatea de a trece mult mai ușor prin rețeaua unei companii, spune Connor Peoples, arhitect de securitate la Vectra, o firmă de securitate cibernetică cu sediul în San Jose, California.
„Acest lucru permite mai multe forme de atacuri, inclusiv manipularea datelor, spear-phishing, compromiterea identității și ar putea duce la întreruperea afacerii cu ingineria socială adecvată aplicată accesului”, spune el, menționând că atacatorii pot „modifica comunicațiile legitime din cadrul unei organizații. prin distrugerea selectivă, exfiltrarea sau implicarea în atacuri de phishing direcționate.”
Vectra a descoperit problema atunci când cercetătorii companiei au examinat Microsoft Teams în numele unui client, căutând modalități de a șterge utilizatorii care sunt inactivi, o acțiune pe care Teams nu o permite de obicei. În schimb, cercetătorii au descoperit că un fișier care stoca jetoane de acces în text clar, ceea ce le-a oferit posibilitatea de a se conecta la Skype și Outlook prin intermediul API-urilor lor. Deoarece Microsoft Teams reunește o varietate de servicii - inclusiv acele aplicații, SharePoint și altele - la care software-ul necesită token-uri pentru a avea acces, Vectra precizat în aviz.
Cu token-uri, un atacator nu poate doar să obțină acces la orice serviciu în calitate de utilizator online, ci și să ocolească MFA, deoarece existența unui token valid înseamnă de obicei că utilizatorul a furnizat un al doilea factor.
În cele din urmă, atacul nu necesită permisiuni speciale sau malware avansat pentru a acorda atacatorilor acces suficient pentru a cauza dificultăți interne unei companii vizate, se arată în avizul.
„Cu suficiente mașini compromise, atacatorii pot orchestra comunicațiile în cadrul unei organizații”, a declarat compania în aviz. „Asumând controlul deplin asupra locurilor critice – cum ar fi șeful de inginerie, CEO sau CFO al unei companii – atacatorii pot convinge utilizatorii să îndeplinească sarcini dăunătoare organizației. Cum exersați testarea phishing pentru asta?”
Microsoft: Nu este necesar niciun patch
Microsoft a recunoscut problemele, dar a spus că faptul că atacatorul trebuie să fi compromis deja un sistem din rețeaua țintă a redus amenințarea reprezentată și a optat să nu corecteze.
„Tehnica descrisă nu corespunde standardului nostru pentru service imediat, deoarece necesită ca un atacator să obțină mai întâi acces la o rețea țintă”, a declarat un purtător de cuvânt al Microsoft într-o declarație trimisă Dark Reading. „Apreciem parteneriatul Vectra Protect în identificarea și dezvăluirea responsabilă a acestei probleme și vom lua în considerare abordarea într-o lansare viitoare a produsului.”
În 2019, a fost lansat Open Web Application Security Project (OWASP). o listă de top 10 a problemelor de securitate API. Problema actuală ar putea fi considerată fie o autentificare a utilizatorului întreruptă, fie o configurare greșită a securității, a doua și a șaptelea problemă pe listă.
„Văd această vulnerabilitate ca un alt mijloc de mișcare laterală în primul rând – în esență o altă cale pentru un instrument de tip Mimikatz”, spune John Bambenek, principalul vânător de amenințări la Netenrich, un furnizor de servicii de analiză și operațiuni de securitate.
Un motiv cheie pentru existența deficienței de securitate este că Microsoft Teams se bazează pe cadrul aplicației Electron, care permite companiilor să creeze software bazat pe JavaScript, HTML și CSS. Pe măsură ce compania se va îndepărta de această platformă, va putea elimina vulnerabilitatea, spune Vectra's Peoples.
„Microsoft face un efort puternic pentru a trece la Progressive Web Apps, ceea ce ar atenua multe dintre preocupările aduse în prezent de Electron”, spune el. „În loc să rearhitecteze aplicația Electron, presupun că ei dedică mai multe resurse în starea viitoare.”
Vectra recomandă companiilor să folosească versiunea bazată pe browser a Microsoft Teams, care are suficiente controale de securitate pentru a preveni exploatarea problemelor. Clienții care trebuie să utilizeze aplicația desktop ar trebui „să urmărească fișierele cheie ale aplicației pentru a fi accesate prin orice alt proces decât aplicația oficială Teams”, a declarat Vectra în aviz.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
