Napadalci, ki dobijo začetni dostop do žrtvinega omrežja, imajo zdaj na voljo še eno metodo za razširitev svojega dosega: uporabo žetonov za dostop drugih uporabnikov Microsoft Teams za lažno predstavljanje teh zaposlenih in izkoriščanje njihovega zaupanja.
To je glede na varnostno podjetje Vectra, ki je v svetovanju 13. septembra navedlo, da Microsoft Teams shranjuje žetone za preverjanje pristnosti nešifrirane, kar vsakemu uporabniku omogoča dostop do tajne datoteke brez potrebe po posebnih dovoljenjih. Po navedbah podjetja lahko napadalec z lokalnim ali oddaljenim dostopom do sistema ukrade poverilnice za vse uporabnike, ki so trenutno na spletu, in se lažno predstavlja zanje, tudi ko so brez povezave, ter se lažno predstavlja za uporabnika prek katere koli povezane funkcije, kot je Skype, in obide večfaktorsko avtentikacijo ( MZZ).
Slabost daje napadalcem možnost, da se veliko lažje premikajo po omrežju podjetja, pravi Connor Peoples, varnostni arhitekt pri Vectri, podjetju za kibernetsko varnost s sedežem v San Joseju v Kaliforniji.
»To omogoča več oblik napadov, vključno z posegom v podatke, lažnim predstavljanjem, ogrožanjem identitete in lahko povzroči prekinitev poslovanja s pravim socialnim inženiringom, uporabljenim za dostop,« pravi in ugotavlja, da lahko napadalci »vdrejo v zakonite komunikacije znotraj organizacije s selektivnim uničenjem, eksfiltracijo ali vključevanjem v ciljane lažne napade.«
Vectra je odkrila težavo, ko so raziskovalci podjetja pregledali Microsoft Teams v imenu odjemalca in iskali načine za brisanje nedejavnih uporabnikov, dejanje, ki ga Teams običajno ne dovoljuje. Namesto tega so raziskovalci odkrili datoteko, ki je shranjevala dostopne žetone v čistem besedilu, kar jim je dalo možnost povezovanja s Skypeom in Outlookom prek njihovih API-jev. Ker Microsoft Teams združuje različne storitve – vključno s tistimi aplikacijami, SharePointom in drugimi –, za katere programska oprema potrebuje žetone za dostop, Vectra navedeno v svetovalnem.
Z žetoni lahko napadalec ne samo pridobi dostop do katere koli storitve kot trenutno spletni uporabnik, ampak tudi zaobide MFA, ker obstoj veljavnega žetona običajno pomeni, da je uporabnik zagotovil drugi dejavnik.
Konec koncev napad ne zahteva posebnih dovoljenj ali napredne zlonamerne programske opreme, da bi napadalcem omogočili dovolj dostopa, da povzročijo notranje težave za ciljno podjetje, je navedeno v svetovanju.
"Z dovolj ogroženimi stroji lahko napadalci orkestrirajo komunikacije znotraj organizacije," je podjetje navedlo v svetovanju. »Če prevzamejo popoln nadzor nad kritičnimi sedeži – kot je vodja inženiringa v podjetju, izvršni direktor ali finančni direktor – lahko napadalci prepričajo uporabnike, da izvajajo naloge, ki škodijo organizaciji. Kako izvajate testiranje lažnega predstavljanja za to?«
Microsoft: popravek ni potreben
Microsoft je priznal težave, vendar je dejal, da je dejstvo, da mora napadalec že ogroziti sistem v ciljnem omrežju, zmanjšalo grožnjo in se odločil, da ne bo popravkov.
»Opisana tehnika ne ustreza našemu standardu za takojšnje servisiranje, saj zahteva, da napadalec najprej pridobi dostop do ciljnega omrežja,« je v izjavi, poslani Dark Readingu, dejal tiskovni predstavnik Microsofta. "Cenimo partnerstvo Vectra Protect pri prepoznavanju in odgovornem razkrivanju te težave in bomo razmislili o tem, da bi jo obravnavali v prihodnji izdaji izdelka."
Leta 2019 je izšel Open Web Application Security Project (OWASP). seznam 10 najpogostejših varnostnih težav API. Trenutna težava bi se lahko štela za pokvarjeno preverjanje pristnosti uporabnika ali za napačno varnostno konfiguracijo, drugo in sedmo uvrščeno težavo na seznamu.
»Na to ranljivost gledam predvsem kot na drugo sredstvo za bočno premikanje – v bistvu še eno pot za orodje tipa Mimikatz,« pravi John Bambenek, glavni lovec na grožnje pri Netenrichu, ponudniku varnostnih operacij in analitičnih storitev.
Ključni razlog za obstoj varnostne pomanjkljivosti je, da Microsoft Teams temelji na aplikacijskem ogrodju Electron, ki podjetjem omogoča ustvarjanje programske opreme, ki temelji na JavaScript, HTML in CSS. Ko se bo podjetje oddaljilo od te platforme, bo lahko odpravilo ranljivost, pravi Vectra's Peoples.
»Microsoft si zelo prizadeva za prehod na progresivne spletne aplikacije, ki bi ublažile številne pomisleke, ki jih trenutno prinaša Electron,« pravi. "Namesto da bi preoblikovali aplikacijo Electron, predpostavljam, da namenjajo več sredstev prihodnjemu stanju."
Vectra podjetjem priporoča uporabo različice Microsoft Teams, ki temelji na brskalniku, ki ima dovolj varnostnih kontrol, da prepreči izkoriščanje težav. Stranke, ki morajo uporabljati namizno aplikacijo, bi morale »paziti na ključne datoteke aplikacij za dostop s katerim koli procesom, ki ni uradna aplikacija Teams,« je Vectra navedla v svetovanju.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
