Angripare som får första åtkomst till ett offers nätverk har nu en annan metod för att utöka sin räckvidd: att använda åtkomsttokens från andra Microsoft Teams-användare för att imitera de anställda och utnyttja deras förtroende.
Det är enligt säkerhetsföretaget Vectra, som i ett meddelande den 13 september sa att Microsoft Teams lagrar autentiseringstoken okrypterat, vilket gör att alla användare kan komma åt hemlighetsfilen utan att behöva ha särskilda behörigheter. Enligt företaget kan en angripare med lokal eller fjärransluten systemåtkomst stjäla autentiseringsuppgifterna för alla användare som för närvarande är online och utge sig för dem, även när de är offline, och utge sig för användaren genom någon tillhörande funktion, såsom Skype, och kringgå multifaktorautentisering ( MFA).
Svagheten ger angripare möjlighet att röra sig genom ett företags nätverk mycket lättare, säger Connor Peoples, säkerhetsarkitekt på Vectra, ett San Jose, Kalifornien-baserat cybersäkerhetsföretag.
"Detta möjliggör flera former av attacker inklusive datamanipulation, spear-phishing, identitetskompromisser och kan leda till affärsavbrott med rätt social ingenjörskonst som tillämpas på åtkomsten", säger han och noterar att angripare kan "manipulera legitim kommunikation inom en organisation genom att selektivt förstöra, exfiltrera eller delta i riktade nätfiskeattacker."
Vectra upptäckte problemet när företagets forskare undersökte Microsoft Teams på uppdrag av en klient, och letade efter sätt att ta bort användare som är inaktiva, en åtgärd som Teams vanligtvis inte tillåter. Istället fann forskarna att en fil som lagrade åtkomsttokens i klartext, vilket gav dem möjlighet att ansluta till Skype och Outlook via sina API:er. Eftersom Microsoft Teams samlar en mängd olika tjänster – inklusive de applikationerna, SharePoint och andra – som programvaran kräver tokens för att få åtkomst, Vectra anges i rådgivningen.
Med tokens kan en angripare inte bara få tillgång till vilken tjänst som helst som en för närvarande onlineanvändare, utan även kringgå MFA eftersom förekomsten av en giltig token vanligtvis innebär att användaren har tillhandahållit en andra faktor.
I slutändan kräver attacken inte speciella behörigheter eller avancerad skadlig programvara för att ge angripare tillräckligt med tillgång för att orsaka interna svårigheter för ett riktat företag, uppgav rådgivaren.
"Med tillräckligt med komprometterade maskiner kan angripare orkestrera kommunikation inom en organisation", sade företaget i rådgivningen. "Om man antar full kontroll över kritiska platser - som ett företags ingenjörschef, VD eller CFO - kan angripare övertyga användare att utföra uppgifter som skadar organisationen. Hur övar du på phish-testning för detta?”
Microsoft: Ingen patch behövs
Microsoft erkände problemen men sa att det faktum att angriparen redan måste ha kompromissat med ett system på målnätverket minskade hotet och valde att inte korrigera.
"Den beskrivna tekniken uppfyller inte vårt krav för omedelbar service eftersom den kräver att en angripare först får tillgång till ett målnätverk", sa en talesperson för Microsoft i ett uttalande som skickades till Dark Reading. "Vi uppskattar Vectra Protects partnerskap för att identifiera och ansvarsfullt avslöja detta problem och kommer att överväga att ta itu med det i en framtida produktsläpp."
Under 2019 släpptes Open Web Application Security Project (OWASP). en topp 10-lista över API-säkerhetsproblem. Det aktuella problemet kan betraktas som antingen trasig användarautentisering eller en felkonfiguration av säkerheten, det andra och sjunde rankade problemet på listan.
"Jag ser den här sårbarheten som ett annat sätt för sidorörelse i första hand - i huvudsak en annan väg för ett verktyg av Mimikatz-typ," säger John Bambenek, huvudhotsjägare på Netenrich, en leverantör av säkerhetsoperationer och analystjänster.
En viktig orsak till att säkerhetsbristen finns är att Microsoft Teams är baserade på Electron-applikationsramverket, som tillåter företag att skapa programvara baserad på JavaScript, HTML och CSS. När företaget går bort från den plattformen kommer det att kunna eliminera sårbarheten, säger Vectra’s Peoples.
"Microsoft gör en stark ansträngning för att gå mot progressiva webbappar, vilket skulle mildra många av de farhågor som Electron för närvarande för med sig", säger han. "Istället för att bygga om Electron-appen, är mitt antagande att de ägnar mer resurser till det framtida tillståndet."
Vectra rekommenderar att företagen använder den webbläsarbaserade versionen av Microsoft Teams, som har tillräckligt med säkerhetskontroller för att förhindra utnyttjande av problemen. Kunder som behöver använda skrivbordsapplikationen bör "titta på viktiga applikationsfiler för åtkomst av andra processer än den officiella Teams-applikationen", sade Vectra i rådgivningen.
