ผู้โจมตีที่ได้รับการเข้าถึงเครือข่ายของเหยื่อในเบื้องต้นมีวิธีอื่นในการขยายการเข้าถึง: การใช้โทเค็นการเข้าถึงจากผู้ใช้ Microsoft Teams รายอื่นเพื่อปลอมตัวเป็นพนักงานเหล่านั้นและใช้ประโยชน์จากความไว้วางใจของพวกเขา
นั่นเป็นไปตามบริษัทรักษาความปลอดภัย Vectra ซึ่งระบุไว้ในคำแนะนำเมื่อวันที่ 13 กันยายนว่า Microsoft Teams จัดเก็บโทเค็นการรับรองความถูกต้องโดยไม่เข้ารหัส ทำให้ผู้ใช้สามารถเข้าถึงไฟล์ลับได้โดยไม่ต้องใช้สิทธิ์พิเศษ จากข้อมูลของบริษัท ผู้โจมตีที่มีการเข้าถึงระบบแบบโลคัลหรือระยะไกลสามารถขโมยข้อมูลประจำตัวของผู้ใช้ที่ออนไลน์อยู่ในปัจจุบันและปลอมตัวเป็นพวกเขา แม้ว่าพวกเขาจะออฟไลน์ และปลอมตัวเป็นผู้ใช้ผ่านคุณลักษณะที่เกี่ยวข้อง เช่น Skype และบายพาสการยืนยันตัวตนแบบหลายปัจจัย ( มฟ.).
จุดอ่อนทำให้ผู้โจมตีสามารถเคลื่อนที่ผ่านเครือข่ายของบริษัทได้ง่ายขึ้นมาก Connor Peoples สถาปนิกด้านความปลอดภัยของ Vectra บริษัทด้านความปลอดภัยทางไซเบอร์ในซานโฮเซ รัฐแคลิฟอร์เนีย กล่าว
“สิ่งนี้ทำให้เกิดการโจมตีได้หลายรูปแบบ รวมถึงการปลอมแปลงข้อมูล การฟิชชิ่งแบบสเปียร์ การประนีประนอมข้อมูลประจำตัว และอาจนำไปสู่การหยุดชะงักทางธุรกิจด้วยวิศวกรรมสังคมที่เหมาะสมที่ใช้กับการเข้าถึง” เขากล่าว พร้อมระบุว่าผู้โจมตีสามารถ “ยุ่งเกี่ยวกับการสื่อสารที่ถูกต้องตามกฎหมายภายในองค์กร โดยการเลือกทำลาย กรอง หรือมีส่วนร่วมในการโจมตีแบบฟิชชิ่งแบบกำหนดเป้าหมาย”
Vectra ค้นพบปัญหาเมื่อนักวิจัยของบริษัทตรวจสอบ Microsoft Teams ในนามของลูกค้า โดยมองหาวิธีลบผู้ใช้ที่ไม่ได้ใช้งาน ซึ่งเป็นการกระทำที่โดยทั่วไปแล้ว Teams ไม่อนุญาต นักวิจัยพบว่าไฟล์ที่จัดเก็บโทเค็นการเข้าถึงเป็นข้อความที่ชัดเจนซึ่งทำให้พวกเขาสามารถเชื่อมต่อกับ Skype และ Outlook ผ่าน API ได้ เนื่องจาก Microsoft Teams รวบรวมบริการที่หลากหลาย ซึ่งรวมถึงแอปพลิเคชันเหล่านั้น SharePoint และอื่นๆ ซึ่งซอฟต์แวร์ต้องใช้โทเค็นในการเข้าถึง Vectra ระบุไว้ในคำแนะนำ.
ด้วยโทเค็น ผู้โจมตีไม่เพียงแต่สามารถเข้าถึงบริการใด ๆ ในฐานะผู้ใช้ที่ออนไลน์อยู่ในปัจจุบันเท่านั้น แต่ยังสามารถข้าม MFA ได้อีกด้วย เนื่องจากการมีอยู่ของโทเค็นที่ถูกต้องโดยทั่วไปหมายถึงผู้ใช้ได้จัดเตรียมปัจจัยที่สอง
ในท้ายที่สุด การโจมตีไม่จำเป็นต้องมีการอนุญาตพิเศษหรือมัลแวร์ขั้นสูง เพื่อให้ผู้โจมตีเข้าถึงได้มากพอที่จะก่อให้เกิดปัญหาภายในสำหรับบริษัทเป้าหมาย คำแนะนำระบุ
“ด้วยเครื่องที่ถูกบุกรุกมากพอ ผู้โจมตีสามารถจัดการการสื่อสารภายในองค์กรได้” บริษัทระบุในคำแนะนำ “สมมติว่าเป็นผู้ควบคุมตำแหน่งสำคัญอย่างเต็มรูปแบบ เช่น หัวหน้าฝ่ายวิศวกรรม ซีอีโอ หรือซีเอฟโอของบริษัท ผู้โจมตีสามารถโน้มน้าวให้ผู้ใช้ปฏิบัติงานที่สร้างความเสียหายต่อองค์กรได้ คุณฝึกฝนการทดสอบฟิชสำหรับสิ่งนี้อย่างไร”
Microsoft: ไม่จำเป็นต้องมีแพตช์
Microsoft รับทราบปัญหาดังกล่าว แต่กล่าวว่าข้อเท็จจริงที่ว่าผู้โจมตีจำเป็นต้องบุกรุกระบบบนเครือข่ายเป้าหมายแล้ว จะช่วยลดภัยคุกคามที่เกิดขึ้น และเลือกที่จะไม่แก้ไข
“เทคนิคที่อธิบายไม่เป็นไปตามมาตรฐานของเราสำหรับการให้บริการทันที เนื่องจากผู้โจมตีต้องเข้าถึงเครือข่ายเป้าหมายก่อน” โฆษกของ Microsoft กล่าวในแถลงการณ์ที่ส่งไปยัง Dark Reading “เราขอขอบคุณหุ้นส่วนของ Vectra Protect ในการระบุและเปิดเผยปัญหานี้อย่างมีความรับผิดชอบ และจะพิจารณาแก้ไขในการเปิดตัวผลิตภัณฑ์ในอนาคต”
ในปี 2019 เปิดตัว Open Web Application Security Project (OWASP) รายการปัญหาด้านความปลอดภัย API 10 อันดับแรก. ปัญหาปัจจุบันสามารถพิจารณาได้ทั้งเรื่องการตรวจสอบสิทธิ์ผู้ใช้ที่ใช้งานไม่ได้หรือการกำหนดค่าความปลอดภัยผิดพลาด ซึ่งเป็นปัญหาอันดับที่สองและเจ็ดในรายการ
“ฉันมองว่าช่องโหว่นี้เป็นอีกวิธีหนึ่งสำหรับการเคลื่อนไหวด้านข้างเป็นหลัก — โดยพื้นฐานแล้วเป็นอีกช่องทางหนึ่งสำหรับเครื่องมือประเภท Mimikatz” John Bambenek นักล่าภัยคุกคามหลักของ Netenrich ผู้ให้บริการปฏิบัติการด้านความปลอดภัยและการวิเคราะห์กล่าว
เหตุผลสำคัญสำหรับการมีอยู่ของจุดอ่อนด้านความปลอดภัยคือ Microsoft Teams ใช้เฟรมเวิร์กแอปพลิเคชัน Electron ซึ่งช่วยให้บริษัทต่างๆ สามารถสร้างซอฟต์แวร์โดยใช้ JavaScript, HTML และ CSS เมื่อบริษัทย้ายออกจากแพลตฟอร์มนั้น ก็จะสามารถกำจัดช่องโหว่ได้ Peoples ของ Vectra กล่าว
“ไมโครซอฟต์กำลังพยายามอย่างยิ่งยวดที่จะก้าวไปสู่ Progressive Web Apps ซึ่งจะช่วยลดความกังวลหลายประการที่เกิดจาก Electron ในปัจจุบัน” เขากล่าว “แทนที่จะออกแบบแอพ Electron ใหม่ ข้อสันนิษฐานของฉันคือพวกเขากำลังทุ่มเททรัพยากรมากขึ้นในสถานะอนาคต”
Vectra แนะนำให้บริษัทต่างๆ ใช้ Microsoft Teams เวอร์ชันบนเบราว์เซอร์ ซึ่งมีการควบคุมความปลอดภัยเพียงพอเพื่อป้องกันการใช้ประโยชน์จากปัญหา ลูกค้าที่ต้องการใช้แอปพลิเคชันเดสก์ท็อปควร "ดูไฟล์แอปพลิเคชันหลักสำหรับการเข้าถึงโดยกระบวนการใดๆ นอกเหนือจากแอปพลิเคชัน Teams อย่างเป็นทางการ" Vectra ระบุในคำแนะนำ
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
