Слабость майнинга токенов в Microsoft Teams делает идеальный фишинг

Злоумышленники, которые получают первоначальный доступ к сети жертвы, теперь имеют другой способ расширения своей досягаемости: использование токенов доступа от других пользователей Microsoft Teams, чтобы выдавать себя за этих сотрудников и использовать их доверие.

По данным охранной фирмы Vectra, которая заявила в бюллетене от 13 сентября, что Microsoft Teams хранит токены аутентификации в незашифрованном виде, что позволяет любому пользователю получить доступ к файлу секретов без необходимости специальных разрешений. По данным фирмы, злоумышленник с локальным или удаленным доступом к системе может украсть учетные данные любых пользователей, которые в настоящее время находятся в сети, и выдать себя за них, даже когда они не в сети, а также выдать себя за пользователя с помощью любой связанной функции, такой как Skype, и обойти многофакторную аутентификацию. МИД).

По словам Коннора Пиплса, архитектора безопасности в компании Vectra, расположенной в Сан-Хосе, штат Калифорния, эта уязвимость дает злоумышленникам возможность гораздо легче перемещаться по сети компании.

«Это позволяет проводить различные формы атак, включая фальсификацию данных, адресный фишинг, компрометацию личных данных, и может привести к прерыванию бизнеса из-за правильной социальной инженерии, примененной к доступу», — говорит он, отмечая, что злоумышленники могут «вмешиваться в законные коммуникации внутри организации». путем выборочного уничтожения, эксфильтрации или участия в целевых фишинговых атаках».

Vectra обнаружила проблему, когда исследователи компании изучили Microsoft Teams от имени клиента, ища способы удалить неактивных пользователей, что Teams обычно не разрешает. Вместо этого исследователи обнаружили файл, в котором токены доступа хранились в открытом виде, что давало им возможность подключаться к Skype и Outlook через их API. Поскольку Microsoft Teams объединяет множество сервисов, в том числе эти приложения, SharePoint и другие, для доступа к которым программному обеспечению требуются токены, Vectra указано в консультативной.

С помощью токенов злоумышленник может не только получить доступ к любой службе в качестве пользователя, находящегося в сети, но и обойти MFA, поскольку наличие действительного токена обычно означает, что пользователь предоставил второй фактор.

В конце концов, атака не требует специальных разрешений или расширенного вредоносного ПО, чтобы предоставить злоумышленникам достаточный доступ, чтобы вызвать внутренние проблемы для целевой компании, говорится в бюллетене.

«При наличии достаточного количества скомпрометированных машин злоумышленники могут организовать связь внутри организации», — говорится в сообщении компании. «Получив полный контроль над критически важными местами — такими как руководитель отдела разработки, генеральный директор или финансовый директор — злоумышленники могут убедить пользователей выполнять задачи, наносящие ущерб организации. Как вы практикуете фиш-тестирование для этого?»

Microsoft: исправление не требуется

Microsoft признала наличие проблем, но заявила, что тот факт, что злоумышленник должен уже скомпрометировать систему в целевой сети, снижает угрозу, и решила не устанавливать исправления.

«Описанная техника не соответствует нашим требованиям к немедленному обслуживанию, поскольку требует, чтобы злоумышленник сначала получил доступ к целевой сети», — заявил представитель Microsoft в заявлении, направленном Dark Reading. «Мы ценим партнерство Vectra Protect в выявлении и ответственном раскрытии этой проблемы и рассмотрим возможность ее решения в будущем выпуске продукта».

В 2019 году был выпущен Open Web Application Security Project (OWASP). список 10 основных проблем безопасности API. Текущую проблему можно рассматривать либо как нарушение аутентификации пользователя, либо как неверную настройку безопасности, что является второй и седьмой проблемами в списке.

«Я рассматриваю эту уязвимость в первую очередь как еще одно средство для бокового перемещения — по сути, еще один путь для инструмента типа Mimikatz», — говорит Джон Бамбенек, главный охотник за угрозами в Netenrich, поставщике услуг по обеспечению безопасности и аналитике.

Ключевая причина существования уязвимости в безопасности заключается в том, что Microsoft Teams основан на платформе приложений Electron, которая позволяет компаниям создавать программное обеспечение на основе JavaScript, HTML и CSS. По словам Vectra's Peoples, по мере того, как компания будет отказываться от этой платформы, она сможет устранить эту уязвимость.

«Microsoft прилагает большие усилия для перехода к прогрессивным веб-приложениям, которые смягчили бы многие опасения, которые в настоящее время вызывает Electron», — говорит он. «Вместо того, чтобы перепроектировать приложение Electron, я предполагаю, что они выделяют больше ресурсов на будущее».

Vectra рекомендует компаниям использовать версию Microsoft Teams для браузера, которая имеет достаточно средств безопасности, чтобы предотвратить использование проблем. Клиенты, которым необходимо использовать настольное приложение, должны «следить за ключевыми файлами приложения на предмет доступа к любым процессам, кроме официального приложения Teams», — говорится в бюллетене Vectra.