Microsoft Teams Exploit Tool ส่งมัลแวร์โดยอัตโนมัติ

เครื่องมือใหม่พร้อมใช้งานบน GitHub ซึ่งช่วยให้ผู้โจมตีมีวิธีใช้ประโยชน์จากช่องโหว่ที่เปิดเผยล่าสุดใน Microsoft Teams และส่งมอบไฟล์ที่เป็นอันตรายไปยังผู้ใช้ Teams เป้าหมายในองค์กรโดยอัตโนมัติ

เครื่องมือนี้มีชื่อว่า “TeamsPhisher” ทำงานในสภาพแวดล้อมที่องค์กรอนุญาตให้มีการสื่อสารระหว่างผู้ใช้ Teams ภายในและผู้ใช้ Teams ภายนอก — หรือผู้เช่า ช่วยให้ผู้โจมตีสามารถส่งข้อมูลเพย์โหลดไปยังกล่องจดหมายของเหยื่อได้โดยตรง โดยไม่ต้องพึ่งฟิชชิ่งหรือวิศวกรรมสังคมแบบดั้งเดิม หลอกลวงเพื่อไปที่นั่น

“ส่งไฟล์แนบ ข้อความ และรายชื่อผู้ใช้ Teams เป้าหมายให้ TeamsPhisher” Alex Reid ผู้พัฒนาเครื่องมือ ซึ่งเป็นสมาชิกของ Red Team ของกองทัพเรือสหรัฐฯ กล่าวในคำอธิบายของเครื่องมือบน GitHub “มันจะอัปโหลดไฟล์แนบไปยัง Sharepoint ของผู้ส่ง จากนั้นวนซ้ำผ่านรายการเป้าหมาย”

กระแสการโจมตีทางไซเบอร์อัตโนมัติเต็มรูปแบบ

ทีมฟิชเชอร์ รวมเอาเทคนิคที่นักวิจัยสองคนจาก JUMPSEC Labs เพิ่งเปิดเผยเกี่ยวกับการใช้คุณลักษณะด้านความปลอดภัยใน Microsoft Teams แม้ว่าแอปการทำงานร่วมกันจะอนุญาตการสื่อสารระหว่างผู้ใช้ Teams จากองค์กรต่างๆ แต่จะบล็อกการแชร์ไฟล์ระหว่างพวกเขา

นักวิจัยของ JUMPSEC Max Corbridge และ Tom Ellson พบวิธีที่ค่อนข้างง่าย เพื่อข้ามข้อจำกัดนี้ โดยใช้สิ่งที่เรียกว่าเทคนิค Insecure Direct Object Reference (IDOR) เป็นผู้จำหน่ายระบบรักษาความปลอดภัย Varonis กล่าวในบล็อกโพสต์ล่าสุด“ข้อบกพร่องของ IDOR ช่วยให้ผู้โจมตีโต้ตอบกับเว็บแอปพลิเคชันอย่างประสงค์ร้ายโดยจัดการ 'การอ้างอิงออบเจ็กต์โดยตรง' เช่นคีย์ฐานข้อมูล พารามิเตอร์การสืบค้น หรือชื่อไฟล์”

Corbridge และ Ellson พบว่าพวกเขาสามารถใช้ประโยชน์จากปัญหา IDOR ใน Teams ได้ง่ายๆ โดยการสลับ ID ของผู้รับภายในและภายนอกเมื่อส่งคำขอ POST นักวิจัยทั้งสองค้นพบว่าเมื่อมีการส่งเพย์โหลดในลักษณะนี้ เพย์โหลดจะถูกโฮสต์บนโดเมน SharePoint ของผู้ส่งและมาถึงกล่องจดหมายของทีมเหยื่อ Corbridge และ Ellson ระบุช่องโหว่นี้ว่าส่งผลกระทบต่อทุกองค์กรที่ใช้งาน Teams ในการกำหนดค่าเริ่มต้น และอธิบายว่าเป็นสิ่งที่ผู้โจมตีสามารถใช้เพื่อหลีกเลี่ยงกลไกป้องกันฟิชชิ่งและการควบคุมความปลอดภัยอื่นๆ Microsoft รับทราบปัญหาแล้ว แต่ประเมินว่าเป็นสิ่งที่ไม่สมควรได้รับการแก้ไขทันที

TeamsPhisher ผสมผสานเทคนิคการโจมตีที่หลากหลาย

Reid อธิบายว่าเครื่องมือ TeamsPhisher ของเขาเป็นการผสมผสานเทคนิคของ JUMPSEC ตลอดจนงานวิจัยบางส่วนก่อนหน้านี้เกี่ยวกับวิธีการใช้ประโยชน์จาก Microsoft Teams สำหรับการเข้าถึงเบื้องต้นโดยนักวิจัยอิสระ อันเดรีย ซานเตเซ. อีกทั้งยังรวมเทคนิคการ TeamsEnumซึ่งเป็นเครื่องมือสำหรับการแจกแจงผู้ใช้ Teams ที่นักวิจัยจาก Secure Systems Engineering GmbH ได้เผยแพร่ไปยัง GitHub ก่อนหน้านี้

ตามข้อมูลของ Reid วิธีการทำงานของ TeamsPhisher คือการแจกแจงผู้ใช้ Teams เป้าหมายก่อน และตรวจสอบว่าผู้ใช้สามารถรับข้อความภายนอกได้ จากนั้น TeamsPhisher จะสร้างเธรดใหม่กับผู้ใช้เป้าหมาย ใช้เทคนิคที่ช่วยให้ข้อความมาถึงกล่องจดหมายของเป้าหมายโดยไม่มีหน้าจอสแปลช “บุคคลภายนอกองค์กรของคุณส่งข้อความถึงคุณ คุณแน่ใจหรือไม่ว่าต้องการดูมัน” เรดกล่าว 

“ด้วยเธรดใหม่ที่สร้างขึ้นระหว่างผู้ส่งของเราและเป้าหมาย ข้อความที่ระบุจะถูกส่งไปยังผู้ใช้พร้อมกับลิงก์ไปยังไฟล์แนบใน Sharepoint” เขากล่าว “เมื่อส่งข้อความเริ่มต้นนี้แล้ว เธรดที่สร้างขึ้นจะปรากฏใน Teams GUI ของผู้ส่ง และสามารถโต้ตอบได้ด้วยตนเอง หากจำเป็น เป็นรายกรณีไป”

Microsoft ไม่ได้ตอบกลับคำขอ Dark Reading ในทันทีเพื่อขอความคิดเห็นว่าการเปิดตัว TeamsPhisher อาจเปลี่ยนจุดยืนในการแก้ไขข้อบกพร่องที่ JUMPSEC พบหรือไม่ JUMPSEC เองได้กระตุ้นให้องค์กรต่างๆ ที่ใช้ Microsoft Teams ตรวจสอบว่ามีความต้องการทางธุรกิจใดๆ ในการเปิดใช้งานการสื่อสารระหว่างผู้ใช้ Teams ภายในและผู้เช่าภายนอกหรือไม่ 

“หากคุณไม่ได้ใช้ Teams เพื่อสื่อสารกับผู้เช่าภายนอกเป็นประจำ ให้เข้มงวดการควบคุมความปลอดภัยและลบตัวเลือกทั้งหมด” บริษัทแนะนำ

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware